Siber suçlular gizli kötü amaçlı yazılım yaymak için SVG dosyalarını giderek daha fazla silah olarak kullanıyor. Siber güvenlik şirketi ESET internet kullanııclarını SVG dosyaları konusunda uyararak nelere dikkat edilmesi gerektiğini paylaştı.
Latin Amerika’da son zamanlarda yayılan bir kötü amaçlı yazılım kampanyası, siber suçluların nasıl geliştiğini ve stratejilerini nasıl iyileştirdiğini gösteren çarpıcı bir örnek sunuyor. Saldırılar sosyal mühendisliğe dayanıyor; kurbanlar, güvenilir kurumlardan gelmiş gibi görünen e-postalar alıyor. Mesajlar aciliyet hissi uyandırıyor, alıcıları davalar konusunda uyarıyor veya mahkeme celbi gönderiyor. Bu, elbette alıcıları korkutup düşünmeden bağlantılara tıklamalarını veya ekleri açmalarını amaçlayan, denenmiş ve test edilmiş bir taktik.
Çok aşamalı kampanyanın nihai amacı, ESET araştırmacıları tarafından da açıklandığı gibi, saldırganların uzaktan ele geçirilen cihazları izlemelerine ve kontrol etmelerine olanak tanıyan bir uzaktan erişim truva atı (RAT) olan AsyncRAT’ı yüklemek. İlk olarak 2019’da tespit edilen ve birçok varyantı bulunan bu RAT, tuş vuruşlarını kaydedebilir, ekran görüntülerini yakalayabilir, kameraları ve mikrofonları ele geçirebilir ve web tarayıcılarında depolanan oturum açma kimlik bilgilerini çalabilir. Bu kampanyayı benzer kampanyalardan ayıran bir şey, “tam paketi” içeren büyük boyutlu SVG (Ölçeklenebilir Vektör Grafikleri) dosyalarının kullanılması. Bu, ele geçirilen cihazlara komut göndermek veya ek kötü amaçlı yükleri indirmek için uzaktaki bir C&C sunucusuna harici bağlantı kurma ihtiyacını ortadan kaldırır. Saldırganlar ayrıca her hedef için özelleştirilmiş dosyalar oluşturmak için en azından kısmen yapay zekâ (AI) araçlarına güveniyor gibi görünüyor.
Teslimat vektörü olarak SVG
Genel olarak JPG veya PNG dosyaları gibi tuzaklı görüntüler içeren saldırılar yeni bir şey değil ve SVG dosyalarının RAT’lar ve diğer kötü amaçlı yazılımları dağıtmak için silah olarak kullanılması da ilk kez kullanılmıyor. “SVG kaçakçılığı” olarak adlandırılan bu teknik, giderek artan sayıda saldırıda tespit edildikten sonra kısa süre önce MITRE ATT&CK veri tabanına eklendi.
SVG’yi saldırganlar için neden ilgi çekici?
SVG’ler, eXtensible Markup Language (XML) ile yazılmış, çok yönlü, hafif vektör görüntü dosyalarıdır. Metin, şekil ve ölçeklenebilir grafikleri depolamak için kullanışlıdır. Bu nedenle web ve grafik tasarımında kullanılırlar. SVG’lerin komut dosyaları, gömülü bağlantılar ve etkileşimli öğeler taşıma yeteneği, onları kötüye kullanıma açık hâle getirirken bazı geleneksel güvenlik araçları tarafından tespit edilme olasılığını da artırır.
Zararlı SVG dosyalarına karşı savunmanızı hazırlayın
Saldırganlar, zararsız görünen SVG dosyalarına paketleyerek ve muhtemelen yapay zekâ tarafından oluşturulan şablonlardan yararlanarak operasyonlarını büyütmeye ve aldatma çıtasını yükseltmeye çalışmaktadır.
Buradan çıkarılacak ilk ders; uyanık ve dikkatli olmak çok önemli. Özellikle de mesajlarda acil bir dil kullanılıyorsa istenmeyen bağlantıları ve ekleri tıklamaktan kaçının. Ayrıca SVG dosyalarına son derece şüpheyle yaklaşın; gerçekte hiçbir devlet kurumu size e-posta eki olarak SVG dosyası göndermez. Bu temel uyarı işaretlerini tanımak, tuzağı atlatmakla saldırganlara cihazınızın anahtarlarını teslim etmek arasındaki farkı belirleyebilir. Bu dikkati, mümkün olduğunda güçlü ve benzersiz parolalar ve iki faktörlü kimlik doğrulama (2FA) kullanmak gibi temel siber güvenlik uygulamalarıyla birleştirin. Tüm cihazlarınızdaki güvenlik yazılımı da her türlü siber tehdide karşı vazgeçilmez bir savunma hattıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
