Twitter’da yeni bir malware (kötü amaçlı yazılım) çeşidi bulundu. Güvenlik araştırmacıları, bu yeni malware türünün talimatlarını Twitter’a gönderilen görsellerde gizlenmiş bir koddan aldığını söylüyor.
Malware’in kendisi de bir o kadar da korkutucu. Birçok uzak erişimli trojanlarda (RATs) olduğu gibi , bu malware de savunmasız bilgisayarlara sessiz sedasız bir biçimde bulaşıyor. Sonrasında bilgisayardan ekran görüntüleri alıp, zarar gören sistemden veriler çekerek, bunları malware’in komuta ve denetim sunucusuna aktarıyor.
Bu noktada ilgi çeken şey ise malware’in ana merkeziyle iletişim kurmak için Twitter’ı zoraki bir kanal olarak kullanması. Trend Micro paylaştığı bir blog gönderisinde malware’in, malware operatörü tarafından kullanılan bir Twitter hesabından gelen komutları dinlediğini söylüyor.
Hatta araştırmacılar görsellerde görsellerinde kullanılan “/print” komutunu gizlemek için bir metin gizleme tekniği olan steganography’yi kullanan iki tweet buldu. Bu komutun malware’e, bulaştığı bilgisayardan ekran görüntüsü almasını söylediğini de ekleyelim. Bu noktadan sonra malware, komuta ve denetim sunucusunun yerini tespit etmek için bir Pastebin gönderisini kullanıyor. Böylece ekran görüntülerini bu sunucuya yönlendirebiliyor.
Araştırmacılar Twitter’a yüklenen görsellerin, çalışan uygulama ve işlemlerin listesini çekmek için “/processos”, kullanıcının panosundaki içerikleri çalmak için “/clip” ve belli klasörden dosya isimleri çekebilmek için “/docs” gibi komutları da içerebileceğini belirtiyor.
VirusTotal tarafından yapılan bir analize göre bu malware türü ilk kez Ekim ortalarında kendini gösterdi. Pastebin gönderisinin ilk defa oluşturulması da bu döneme denk geliyor.
Bu arada araştırmacılar için bir çok sorunun cevapsız kaldığını belirtelim. Malware’in nereden geldiği, arkasında kimin olduğu ve kurbanlarına nasıl bulaştığı henüz bilinmiyor. Üstelik malware’in ne için üretildiği ve gelecekte ne için kullanılacağı da cevapsız kalan sorular arasında yer alıyor.
Tüm bu bilinmezliğin yanı sıra araştırmacılar için Pastebin gönderisinin neden internet adresi olmayan yerel bir adrese yönlendirdiği de belirsizliğini koruyor. Bu yönlendirme gelecek günlerde gerçekleşecek bir saldırı için ön hazırlık olabilir.
Bu gelişmelere rağmen, Twitter’ın kötü niyetli içerikler bulundurmadığını ve tweetlerine malware bulaşmadığını da belirtelim. Bu noktada Twitter’ın bir iletişim kanalı olarak kullanıldığı düşünülüyor. Bir malware ile iletişim kurmak için sosyal ağ kullanmak ilgi çekici ve zekice bir yol ancak bunun çok da sıra dışı olmadığını eklemekte fayda var. Bu kullanımın anti-malware yazılımlarını atlatmak nedeniyle yapıldığı da söylenebilir.
TrendMicro'nun şikayetinin ardından hesabın Twitter tarafından kalıcı olarak askıya alındığını da söyleyelim.
İlk Yorumu yazmak ister misiniz?
Yorum Yazmak için Giriş Yap