Güvenlik 96 views 0

Windows’a Bu Defa PowerPoint İle Saldırdılar!

Evet, sevgili okurlarımız çoğu makalelerimde de bahsettiğim gibi siber suçlular gün geçtikçe daha da tehlikeli oluyor. Sürekli hiç ummadığımız bir uygulama,yazılım üzerinden siber suçlarını sürdürmeye devam ediyorlar ve asla durdurulamıyorlar. Bu defa yine Windows üzerinden yeni bir kötü yazılım ile karşımızdalar. Eğer son Windows PowerPoint güncellemelerini yüklemediyseniz, bu yeni tehlike sizin de kapınızı çalabilir.

Windows Object Linking Embedding (OLE) ara yüzünde bir açık bulunuyor. Siber suçlular bu açıktan faydalanarak Microsoft PowerPoint uygulamasına kötü amaçlı yazılım yüklediler. Güvenlik firması Trend Micro‘nun yeni raporuna göre bu ara yüz açığından genellikle Zengin Metin Belgesi (RTF) dosyalarının kullanımı ile faydalanılıyordu. Ancak yeni keşif, PowerPoint slayt dosyalarının da, bir süre öncesine kadar bu iş için kullanıldığını ortaya koyuyor.

PowerPoint Saldırısı “Phishing” Adlı Posta İle Başlıyor!

Genellikle olduğu gibi buradaki sorun da bir dosyaya sahip olan “phishing” e-postası ile başlıyor. Mesaj, bir çeşit sipariş isteği gibi gözüküyor ve ekteki dosyanın da sipariş ile ilgili bilgiler içerdiği söyleniyor.

Biraz dikkatle bakıldığında bu ek belgenin PPSX dosyası olduğu gözüküyor. Bu da bir slayt gösterisinin sadece okunabilir ancak değiştirilemez bir kopyası anlamını taşıyor. Ancak bu dosya CVE-2017-0199 açığını kullanarak kurbanın bilgisayarını ele geçiriyor. PowerPoint animasyonları ile çalışan kötü amaçlı bir kod çalıştırılıyor ve ardından da “logo.doc” adlı bir dosya indiriliyor.

Bu dosya da aslında bir JavaScript kodunu içeren bir XML dosyası ve “RATMAN.exe” adlı yeni bir programı indirmek için bir PowerShell komutunu çalıştırıyor. Bu program da Remcos adlı bir uzaktan erişim aracının “trojanlaştırılmış” bir sürümü olarak tanımlanıyor. Daha sonra da Komut ve Kontrol sunucusu ile bağlantı kuruluyor.

Remcos basılan tuşları kaydedebiliyor, ekran görüntüsü alabiliyor, video ile ses kaydı yapabiliyor ve hatta daha fazla kötü amaçlı yazılım indirebiliyor. Bunun yanı sıra etkilenen bilgisayara tam erişim de sağlayabiliyor.

Trend Micro‘nun söylediğine göre Microsoft bu açığı bir süre önce kapattı. Bu yüzden de tehlikenin geçmiş olduğunu düşünebilirsiniz. Ama unutmayın; yayınlanan güncellemeleri yüklemeyen o kadar çok kullanıcı var ki…

Daha fazla bilgi için Parma Bilişim ile iletişime geçin….