Lebal Nedir?

google

Birden fazla üniversiteyi ve resmi kurumu hedef alan yeni bir zararlı yazılım keşfedildi.

Güvenlik araştırmacıları üniversiteler ve resmi kurumlar gibi yüksek profilli kurumları hedef alan üst düzey bir zararlı yazılım keşfetti. Zararlı yazılım şimdiye dek 5 üniversiteyi, 23 özel şirketi ve çeşitli devlet kuruluşlarını hedef aldığı düşünülüyor.

Comodo Threat Research Labs’in araştırmacılarına göre zararlı yazılımın yaratıcıları kötü eylemlerini gizlemek için birden fazla yöntem kullanıyorlar. Bahsi geçen zararlı yazılım diğer birçok benzer yazılım gibi e-posta ile dağıtılmıyor. Onun yerine teknik güvenlik önlemlerini aşabilmek için karmaşık bir yol izliyor.

Her şey FedEx’ten gelmiş gibi gözüken bir e-posta ile başlıyor. Bu e-postada dağıtım hizmetinin ‘ücretsiz teslim limitinin’ aşıldığı ve dolayısıyla bir paketin teslim edilemeyeceği belirtiliyor. Sonunda da kişinin paketi şubeye gidip elden teslim alması gerektiği yazıyor.

Kendisine gelen paketi elden alabilmek için kullanıcının e-posta ile gönderilen etiketi indirmesi ve baskı alması gerekiyor. Kullanıcı verilen linke tıkladığında Google Drive bağlantısına yönlendiriliyor ve zararlı bir dosya olan “Lebal copy.exe” indirilmeye hazır olarak bekliyor.

Araştırmacıların açıklamasına göre açılan sayfada “güvenli”, “https” ve “drive.google.com” görünmesi kullanıcıların sayfaya otomatik olarak güvenmesini sağlıyor.

Adres çubuğunda google.com gören bir kişi o sayfaya güvenemeyecekse neye güvenecek? İşin aslı google uzantıları bile güvenli değil. Çünkü pek çok yetenekli siber suçlu drive.google.com’u kimlik avı veya zararlı yazılım dağıtma amaçlı kullanabiliyor. Üstelik bu bahsettiğimiz olay hiçte kolay bir iş değil.

Kullanıcıların güvenliği için Google ve diğer birçok depolama servisi sağlayan firmanın bu gibi zararlı yazılımların depolanmasını engellemek için acilen bir şeyler yapması gerekiyor.

E-posta ekinde gönderilen Lebal copy dosyası Adobe Acrobat belgesi gibi gözükerek aslında zararlı aktiviteler gerçekleştirmek üzere tasarlanmış bir zararlı yazılımdır.

Bahsi geçen zararlı yazılım bulaştığı bilgisayarın işletim sistemini, yüklü uygulamaların sürümlerini, internet tarayıcısındaki bilgileri ve anında mesajlaşma istemcilerinin detaylarını öğrenip, siber suçlulara iletebiliyor. Ayrıca FileZilla veya WinSCP gibi FTP istemcilerinden kimlik bilgilerini çekebiliyor. Bu sayede kripto para cüzdanlarına da erişim sağlanabiliyor.

Uzun lafın kısası, bahsi geçen zararlı yazılım hedef bilgisayardaki her şeyi çalabiliyor.

Yapılan analizlere göre zararlı yazılım Brezilya’daki bir IP adresine bağlı ve sadece 8 Ocakta 328 adet phishing e-postası gönderildiği belirtildi.