Yarım milyonu etkileyen tehdit: Statinko

Yarım milyonu etkileyen tehdit: Statinko
Temmuz 24 11:08 2017 Yazıyı Yazdır

Antivirüs yazılım kuruluşu ESET, şu ana kadar yarım milyon kullanıcıyı etkileyen yeni bir tehdidi ortaya çıkardı. İyi gizlenen, kullanıcıları sahte torrent sitelerinden korsan yazılım indirmeye yönlendiren ve son beş yıldır tespitlerden kaçmayı başaran bu zararlı yazılımın adı Statinko.

Stantinko, tarayıcı eklentileri yükleyip sahte reklamlar göstererek para kazanan bir botnet ağı. Botnet, uzaktan yönetilen ve kötü amaçlı yazılım bulaşmış çok sayıda bilgisayarın oluşturduğu ağı tanımlıyor. Sahibinin bilgisi olmadan uzaktan yönetilebilen bu bilgisayarlara bilişim çevrelerinde zombi makineler de deniyor. Botnetlerin büyük bir tehdit oluşturmasının nedeni, siber suçluların bunlar aracılığı ile neredeyse her görevi yüzde 100‘lük başarı oranı ile yürütebilmesinden kaynaklanıyor.

Statinko bir defa bilgisayarınıza yüklendikten sonra büyük çaplı Google aramaları yapabiliyor. Facebook üzerinde sahte hesaplar açıp, bu hesaplarla arkadaş edinerek resimleri beğenebiliyor. Bu yeni tehdidin şu anda çoğunlukla Rusya ve Ukrayna’da etkili olduğu belirtiliyor.

Gerçek görünen bir kod içinde gizleniyor, fark edilmiyor

Stantinko, gerçek görünen bir kodun içerisinde gizleniyor. Zararlı yazılım gelişmiş teknikler kullanarak şifrelenmiş bir dosya veya Windows kayıt defteri (regedit) içerisinde saklanıyor. İlk bulaşma sırasında oluşturulan anahtar sayesinde deşifre oluyor. Bulaşıcı özellikleri komuta sunucusundan yeni parçalar indirmeye çalışana kadar tespit edilemiyor. Bir kere bulaşınca iki çok zararlı Windows Hizmeti yüklüyor ve Windows yeniden başlatıldığında bu servisler çalışmaya başlıyor.

Botnet silinen her zararlı parçayı yeniden yüklüyor

ESET Zararlı Yazılım Araştırmacısı Frédéric Vachon yapıyı şöyle özetliyor: “Her bir parça sistemden silinen diğer parçaları yeniden yüklemek için tasarlandığı için bir defa bulaştı mı kurtulmak neredeyse imkânsız. Tamamen kurtulmak için kullanıcı her iki hizmeti de aynı anda silmek zorunda.”Stantinko bir cihaza yerleşir yerleşmez Google Chrome Web Store’da yer alan iki eklenti yüklüyor: “The Safe Surfing” ve “Teddy Protection”. Her iki eklenti de analizlerimiz boyunca indirilebilir durumdaydı.

Tıklama sahtekarlığına dikkat

ESET Kıdemli Zararlı Yazılım Araştırmacısı Marc-Etienne Léveillé ,zararlı yazılımla ilgili şunları söyledi: “İlk bakışta güvenilir tarayıcı eklentileri gibi görünüyor. Fakat Stantinko tarafından yüklendiğinde eklentiler reklam sızdıran ve tıklama sahtekarlığına yönelik yönergeler içeren farklı yapılandırmalar alıyor”. Zararlı yüklendikten sonra Stantinko operatörleri esnek eklentiler sayesinde sistemi tamamen ele geçirebiliyorlar. Geniş çaplı anonim aramalar, brute force saldırıları, veri hırsızlığı ve Facebook üzerinde sahte oluşturmaya varana kadar çeşitli işlemleri yapabiliyorlar.

Konuyla ilgili zararlı yazılımın incelemesine şu linkten ulaşabilirsiniz:

https://www.welivesecurity.com/2017/07/20/stantinko-massive-adware-campaign-operating-covertly-since-2012/

  Kategori:
daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.