Google Dokümanlar’da Gizlenen Fidye Yazılımı

Google Dokümanlar’da gizlenen “Cute” fidye yazılımı, herhangi bir bulut tabanlı sistemden kullanıcılara saldırabilir. Çin kökenli malware, Google’ın kendi güvenlik sistemini kullanıcı bilgilerini toplamak için manipüle ediyor.

GitHub’ta bulunan bu yeni tür command-and-control ile çalışan malware Google Dokümanlar’ı bir başlangıç platformu gibi kullanıyor. “cuteRansomware” lakaplı bu yazılım, Google’ın kendi güvenlik sistemini kurbanların güvenlik duvarını aşmak için kullanıyor ve saldırgana son kullanıcının dosyalarını şifreleme olanağı veriyor.

Hiçbir şeyden haberi olmayan kullanıcıların bilgisayarına drive-by yüklenmesi yoluyla dağıtılan “cuteRansomware”, bir Google Dokümanlar formu kullanarak saldırgana kullanıcının RSA şifreleri, bilgisayar ismi gibi önemli bilgilerini iletiyor.

Fidye yazılımını keşfeden güvenlik firması Netskope, aynı zamanda saldırganın bu yöntemi kullanarak Google’ın güvenli HTTPS protokolünü de manipüle edebileceğini dolayısıyla kurbanların güvenlik yazılımlarına yakalanmayacağını açıkladı.

Netskope firmasından Umesh Wanwe kendi blog yazısında şunları yazdı:

“Google Dokümanlar varsayılan olarak HTTPS kullanır. SSL üzerinden yapılan şebeke veri aktarımı ile geleneksel güvenlik sistemleri (güvenlik duvarları, saldırı önleme sistemleri, yeni nesil güvenlik duvarları vb.) kolayca atlatılabilir. Kötü niyetli kişilerin malware yaymak ve veri sızdırmak için sıkça kullandığı bulut sistemlerinin geleneksel tespit araçlarının SSL katmanında görülmemesi, saldırganlara büyük avantaj sağlıyor. Ayrıca, Google Dokümanlar gibi popüler bulut uygulamalarının kullanılması, başka bir meydan okumayı ortaya atıyor. Google Dokümanlar gibi uygulamaları verimlilik aracı gibi kullanan kuruluşlar için, bunu engellemek neredeyse imkansız. Google Dokümanlar kullanırken fidye yazılımdan etkilenmemek için, Google Dokümanlar’ı normal çalıştırırken, “cuteRansomware” ile bağlantılı spesifik uygulama örneğini engelleyebiliyor olabilmeniz gerekiyor.

Firmanın açıklamasına göre, “cuteRansomware” yazılımı, “My-Little-Ransomware” malware’nın modifiye edilmiş versiyonu. Çin merkezli bu yeni varyasyon, “My-Little-Ransomware” ile benzer kaynak koduna dayalı fakat daha küçük bir hedef yelpazesi var. (.bmp, .png, .jpg, .zip, .txt, .pdf, .pptx, .docx, .py, .cpp, .pcap, .enc, .pem, .csr)

Netskope’un SCMagazine dergisine yaptığı açıklamalara göre “cuteRansomware” daha çok Çinli kullanıcıları hedef alıyor ve tasarımı çok ilkel. Yine de, bulut tabanlı sistemler, kullanıcıların paralarını rehin almak için kullanılan malware türleri için bir hedef.

Kaynak: ibtimes.co.uk