Microsoft’un Windows 11 sistem gereksinimlerini aşmanın bir yolunu arıyorsanız, herhangi bir eski web sitesine tıklayıp bir yükleyici indirmeyin. Beklendiği gibi, kötü niyetli aktörler web’e sahte bir Windows 11 yükleyici yüklediler ve en son işletim sistemini yüklemeye çalışırken kullanıcıların bilgisayarlarına kötü amaçlı yazılım yüklüyorlar.
Windows’a yükseltilen adıyla devam eden bir web sitesi[dot]com yakın zamanda HP’nin tehdit araştırma ekibi tarafından analiz edildi ve kullanıcı bilgilerini çalmak için yola çıkan bir kötü amaçlı yazılım olan RedLine Stealer’ı dağıtmaya çalıştığını buldular.
Aşağıda HP tarafından gösterildiği gibi web sitesi (kişisel olarak ziyaret etmenizi önermiyorum), Microsoft’un kendi Windows 11 yükleyici web sitesinin ayna görüntüsü gibi görünüyor. Ancak, “Windows 11’i Alın” başlığının altında, “Şimdi İndir” etiketli düğme, Discord’un içerik dağıtım ağında (CDN) barındırılan tehlikeli bir yükleyiciye yol açar.
Yükleyicinin adı Windows11InstallationAssistant.zip ve yalnızca 1,5 MB büyüklüğünde sıkıştırılmış. Altı Windows DLL, bir XML dosyası ve bir taşınabilir yürütülebilir dosya içerir. Sıkıştırılmamış dosya 753 MB’lık bir ağırlığa sahiptir ve burada, onun alçakça niyetine dair bazı ipuçları vardır.
HP araştırmacıları, “zip dosyasının sıkıştırılmış boyutu yalnızca 1,5 MB olduğundan, bu, %99,8 gibi etkileyici bir sıkıştırma oranına sahip olduğu anlamına gelir” diyor. “Bu, %47’lik yürütülebilir dosyalar için ortalama zip sıkıştırma oranından çok daha büyük. Bu kadar yüksek bir sıkıştırma oranı elde etmek için, yürütülebilir dosya muhtemelen son derece sıkıştırılabilir dolgu içeriyor. Onaltılık düzenleyicide bakıldığında, bu dolgu kolayca fark edilir.”
Dolgu, bir grup 0x30 bayt koda benziyor ve dosyanın çalışması üzerinde hiçbir etkisi yok. HP, bu boyuttaki bir dosyayı tamamen taramaya çalışmayabileceğinden, bunun virüsten koruma taramalarını atlatmanın bir yolu olarak da mevcut olabileceğini öne sürüyor.
Dosya çalıştırıldığında, kullanıcı bilgilerini, parolaları, kredi kartı bilgilerini ve kripto para cüzdanlarını çalmaya çalışan RedLine Stealer kötü amaçlı yazılımını indirme ve çalıştırma hareketlerinden geçer. Daha sonra eve bir IP adresine telefon etmeye ve bu bilgiyi saldırganlara göndermeye çalışır.
HP’nin belirttiği gibi, bu aynı zamanda 2021’de analiz ettiği başka bir saldırıya benziyor. Saldırganlar, kullanıcıları kandırmak için, Discord’un kendi gibi görünen tehlikeli bir yükleyiciyi indirmeleri için yakından ilişkili ancak yanlış yazılmış bir Discord web sayfası oluşturmak için benzer bir sahtekarlık tekniği kullandılar. HP, bu saldırının Windows 11 ile aynı DNS sunucularını, kötü amaçlı yazılımları ve etki alanı kayıt kuruluşunu kullandığını not eder.
Windows 11’e gelince, onu güvenli bir şekilde indirmenin yolları var. Microsoft, Ekim ayında piyasaya sürülen yeni işletim sistemini kademeli olarak uyumlu bilgisayarlara yayınlıyor. Bununla birlikte, her PC’ye Windows 11 sunulmayacak ve bu, işletim sisteminin bağlı olduğu güvenlik tabanlı sistem gereksinimlerine bağlı.
Windows 11 ile uyumlu olmayan daha eski bir CPU ile bu teknedeyseniz, web’de bir ISO veya yükleyici aramanızı önermiyoruz. Bunun yerine, bir Windows 11 ISO veya kurulum medyası kullanarak Microsoft’un resmi indirme sayfası aracılığıyla işletim sistemini kurabilirsiniz. Yine de burada bazı endişeler var. Microsoft, kritik güncellemeleri bu şekilde alacağınızı garanti etmez ve işletim sisteminizin güvenli olmayan bir yapısıyla karşı karşıya kalabilirsiniz.
Güvenlik için, o zaman yapılacak en iyi şey, donanımınızı hattan aşağı yükseltene kadar sıkı oturmak. Windows 11, Windows 10’dan gerçekten çok farklı değil, bu yüzden çok fazla şey kaçırmıyorsunuz, ancak köşeleri yuvarlatıyorsunuz. Windows 11’in en iyi oyun özelliği olan DirectStorage bile Windows 10’a gelecek.
Kötü amaçlı yazılımlar için hedef ve ana bilgisayar olarak anlaşmazlık
Güvenlik şirketi Sophos, geçen yıl Discord’un kötü amaçlı yazılımlar için bir merkez haline geldiği konusunda uyardı. O zaman, TLS korumalı kötü amaçlı yazılım indirmelerinin %4’ünün Discord’dan geldiğini kaydetti, çünkü kötü aktörlerin dosya yüklemesi ve başkalarıyla paylaşması için bir yol sunuyor. Bu platformun popülaritesi nedeniyle, oyuncuların hizmetteki kötü amaçlı yazılımların ana hedefleri olması bekleniyor.
Discord, kötü dosyaları barındırma yeteneğinde yalnız değildir. Kullanıcı tarafından oluşturulan herhangi bir platform istismara açıktır. Popüler VoIP hizmeti Discord’un popülaritesi ve kapsamı o kadar arttı ki, hem milyonlarca kullanıcısını sömürmek isteyen saldırganların hem de kötü amaçlı yazılımların dosya barındırması için CDN’sinden yararlanmak isteyenlerin hedefi oldu.
Yakın zamanda Microsoft’a ait RiskIQ’daki güvenlik araştırmacıları, Discord’un CDN’sinin çeşitli kötü amaçlı yazılım türlerini barındırmak için nasıl kullanılabileceğini ve kullanıldığını özetledi.
Saldırganların söz konusu kötü amaçlı yazılımları kullanıcıların bilgisayarlarına bulaştırmasının yaygın bir yolunun, şu biçimde bir bağlantıyla bir Discord etki alanına bağlantı kurmak olduğunu bildiriyor: hxxps://cdn.discordapp[.]com/attachments/{ChannelID}/{AttachmentID}/{filename}. Bu URL daha sonra bir kullanıcıyı daha meşru görünen başka bir URL’den tehlikeli dosyaları barındıran bir Discord sunucusuna yönlendirmek için bir saldırgan tarafından bağlanabilir.
RiskIQ tarafından keşfedilen en yaygın kötü amaçlı yazılım türü, gerçek bir uygulama veya indirme görüntüsünü taklit etmeyi amaçlayan bir truva atıydı. Örneğin, yukarıda belirtilen Windows 11 yükleyici indirmesi. Bununla birlikte, Discord’un CDN’sinde barındırılan 27 benzersiz kötü amaçlı yazılım türünün kanıtını da buldu.
Tehdit oluşturan yalnızca doğrudan kötü amaçlı yazılım değil, dolandırıcılar son zamanlarda bir NFT hizmetlerinin özel URL’sini Discord’da ele geçirdi ve kendi dolandırıcı Discord sunucularına yeniden yönlendirdi. Buradaki CryptoBatz sorunu, uyumsuzluk URL’lerini ayarlamadan değiştirdi Alles Değişikliği yansıtmak için sosyal medyada önceki mesajlar ve dolandırıcılar daha sonra eski URL’yi kendilerine aitmiş gibi aldılar. Dolandırıcılar tek başına bu karışıklıktan 40.000 dolar kazanmış olabilir.
Güvenlik araştırmacıları, bu sorunları Discord’a bildirmek için üzerlerine düşeni yapıyorlar ve Discord, kötü amaçlı yazılımları elinden gelen en iyi şekilde ortadan kaldırmaya çalışıyor, ancak bir kapının kapandığı yerde diğeri açılıyor. Bu, bilgisayarların başlangıcından beri geçerli olduğundan, eski tavsiyelere bağlı kalmanızı ve resmi olmayan web siteleri ve indirmeler konusunda dikkatli olmanızı öneririz. Discord sunucularındaki bağlantılarla ilgili bazı uyarılar da artık tavsiye ediliyor.
