Facebook Messenger Kullanırken Dikkat

Facebook günümüzde oldukça yaygın olan bir sosyal medya sitesi. Eğer sizde arkadaşlarınızla konuşmak için Facebook Messenger’ı tercih ediyorsanız bu yazıyı okumanızı tavsiye ederiz.

Çok sevdiğiniz ve güvendiğiniz bir arkadaşınız size Facebook Messenger üzerinden fotoğraf yollasa açıp bakar mısınız? Çoğumuz açıp bakarız. Fakat yollanılan bu fotoğraf .SVG formatındaysa o fotoğrafa tıklamamaya özen göstermelisiniz.

Facebook’ta başlayan yeni furya Messenger üzerinden malware yaymak. Yollanılan .SVG dosyalarının içine saklanan malware, bilgisayarlara bulaşmak için hazır bekliyor.

Eğer gelen .SVG dosyasına tıklarsanız (ve eğer bu dosya gerçekten kötü amaçlı yazılım içeriyorsa) bilgisayarınıza Locky Ransomware bulaşmış olacak. Locky Ransomware son zamanlarda siber suçlular tarafından bulaşma kapasitesi dolayısı ile oldukça sevilen bir malware olarak biliniyor.

Bard Blaze tarafından keşfedilen bu malware, .SVG dosyası içine saklanan Nemucod isimli bir malware indiricisi ile bulaşıyor.

Peki neden .SVG dosyası?

Saldırganların malware yaymak için .SVG (Scalable Vector Graphics) dosyasını tercih ediyor çünkü .SVG JavaScript gibi gömülü içerik barındırma yeteneğine sahiptir ve herhangi bir modern tarayıcıda görüntülenebilir.

Saldırganlar kötü niyetli JavaScript kodunu doğrudan imaj dosyasına ekledi fakat bu aslında harici bir dosyaya bağlantıydı. Eğer bu dosyaya tıklanırsa, kötü niyetli imaj dosyası YouTube’u taklit eden bir web sitesine yönlendiriyor fakat aslında bu URL tamamen farklı.

Malware bulaştırmak için kullanılan tipik yöntem burada da kullanılıyor. Açılan web sitesi imajı görüntüleyebilmek için kurbandan bir Google Chrome eklentisi indirmesini istiyor. Burada bahsi geçen eklenti kötü amaçlı bir eklenti ve bilinen iki ismi var: Ubo ve One.

Kötü amaçlı yazılımın kurulumu tamamlandıktan sonra saldırganlar kurbanın ziyaret ettiği web sitelerindeki verileri değiştirebilir ve kurbanın Facebook hesabına erişim sağlayabildiği için o hesapta bulunan arkadaş listesindeki herkese aynı .SVG dosyasını mesaj yolu ile iletebilir.

Daha kötüsü olabilir mi?

Evet, maalesef olabilir. Bir diğer araştırmacı olan Blaze’in meslektaşı Peter Kruse, bu .SVG dosyasının kurbanın bilgisayarına Locky Ransomware’ın bir kopyasını indirdiğini bildirdi.

Locky Ransomware, kurban bilgisayardaki tüm dosyaları RSA-2048 ve AES-1024 şifreleme algoritmaları ile şifreleyen popüler fidye yazılımlardan biri olarak biliniyor.

Henüz bu zararlı .SVG dosyalarının Facebook’un uzantı filtresini nasıl aştığını belli değil. Fakat hem Google güvenlik ekibi hem de Facebook güvenlik ekibi bu saldırı tipinden haberdar edildi.

Kaynak: thehackernews.com