Ses dosyalarında büyük tehlike!

Tehdit araştırmacıları WAV ses dosyalarında kötü amaçlı kodlar keşfetti. Hackerları kripto para üretimi için bilgisayarlarımıza sızıyorlar

Günümüzde internette güvenli bir şekilde dolaşmak hepinizin bildiği üzere kolay bir eylem değil. Hackerlar, birçok yeni yöntemle karşımıza çıkıyorlar. Ortaya çıkan yeni bir habere göre hackerlar, bilgisayarımızda kripto para madenciliği yapmak için internetten indirdiğimiz wav dosyalarına zararlı yazılım enjekte etmekteler.

İnsanların bilgilerini ele geçirmek ve bunu kendi avantajına kullanmak isteyen hackerlar, her gün yeni bir yöntemle karşımıza çıkıyorlar. Blackberry Cylance tarafından bulunan yeni bir yönteme göre hackerlar, wav ses dosyalarına gizli kodlar yerleştiriyorlar.

Aslında bu yöntem, ‘steganografi’ olarak bildiğimiz bilgiyi gizleme bilimine oldukça benziyor. Hackerlar, dışarıdan normal gözüken bir dosyada birçok zararlı yazılım saklamak için bu yöntemi kullanıyorlar. Dolayısıyla bu dosyalar, görünüşte şüpheli olmadıkları için güvenlik duvarından da rahatça geçebiliyorlar.

Geçmişte bu kişiler daha çok sıkıştırılmış ya da resim dosyalarına zararlı yazılım saklıyorlardı ancak Blackberry Cylance tarafından yapılan keşfe göre hackerlar, XMRrig isimli zararlı yazılımı saklamak için WAV dosyalarını kullanıyorlar. WAV dosyaları, kötü niyetli kodların çalışması için komutların kodunu çözme ve yürütme amaçlı yükleyici bir bileşen enjekte ediyor. Her WAV dosyası, dosyanın ses verilerinde yükleyici bir bileşen içeriyor. Ses çalındığında ise bazı WAV dosyalarının normal şekilde ses ürettiği, diğer dosyaların da yalnızca beyaz gürültü ürettiği keşfedildi.

Güvenlik uzmanlarının WAV dosyalarından çıkardığı XMRrig isimli zararlı yazılım kurbanın bilgisayarında kripto para madenciliği yapıyor. Blackberry Cylance’da yetkili isimlerden biri olan Josh Lemos, bir ses dosyasının kripto para madenciliği için kullanılmasının bir ilk olmadığını söyledi. Daha önce de bu tür denemeler gerçekleşmiş.

Bu tür bir deneme ilk kez geçtiğimiz haziran ayında tespit edilmişti. Rus hacker grubu Turla, kendi sunucularından başka bilgisayarlara zararlı yazılım enjekte etmek için WAV dosyalarını kullanıyordu. Ayrıca bu hacker grubu, Chrome ve Firefox’u TLS web trafiğini izlemek üzere değiştirmekten de sorumluydu. Siber tehdit araştırmacıları, WAV ses dosyalarında kötü amaçlı kodlar bulduklarını açıkladılar. Bu kodları bilgisayar korsanlarının kripto paralar için kullandıkları yapılan açıklamalar arasında yer aldı.

Her Ay Yüzbinlerce Dolar

16 Ekim’de yapılan açıklamalarda, virüsten koruma programları geliştiren bir yazılım şirketi olan BlackBerry Cylance’daki araştırmacılar, WAV ses dosyalarının içine gizlenmiş kötü amaçlı kodların bulunduğunu bildirdi. Açıklamalara göre, bilgisayar korsanlarının sıradan görünümlü dosyalara kötü amaçlı yazılım kodları gizlediği bu tür kötü amaçlı yazılım dolandırıcılıklarına steganografi adı veriliyor.

Yapılan analizler, bazı WAV dosyalarının içerdiği kötü amaçlı yazılımların kazanç sağlamak için dağıtmak ve saldırılan makineye uzaktan erişim sağlamak için kod içerdiğini gösterdi.

Raporda bu konuyla ilgili şu ifadeler yer alıyor:

Çalındığında, WAV dosyalarından bazıları ayırt edilemez kalite sorunu veya aksaklığı olmayan müzikler üretiyor. Diğerleri basitçe statik ses üretiyor.
Bunların yanında kötü niyetli WAV dosyaları, bilgisayar korsanlarının CPU madencilerini kurbanın cihazına yerleştirmesine olanak tanıyor. Bu sayede işleme kaynakları ele geçirilebiliyor ve kripto para madenciliğinden aylık binlerce dolar kazanılabiliyor.

Cylance’in yaptığı açıklamaya göre ise bu ay gerçekleşen saldırılardan Turla’yı sorumlu tutmak doğru olmaz çünkü herhangi bir insanın artık bu yöntemi benzer zararlı TTP’lerle ve yazılımlarla gerçekleştirebilecekleri söylendi. Bunun dışında uzmanlar, steganografinin tespitinin oldukça zor olduğunu ve bu yüzden internetten herhangi bir ses dosyası indirirken dikkatli olunması gerektiğini belirtti.

Cointelegraph'a göre bilindiği gibi Kuzey Koreli hacker’lar ile Amerikalı düzenleyiciler arasında sıklıkla sorunlar yaşanıyor. Son olarak 13 Eylül’de yapılan açıklamalara göre ABD hazine bakanlığı Kuzey Kore’deki hack gruplarına, özellikle de ünlü Lazarus grubuna ve daha az bilinen iki hack grubu Bluenoroff ve Andariel’e karşı yaptırımlar uygulamaya başladı. Ağustos ayında ortaya atılan bazı haberlerde ise Birleşmiş Milletler, Kuzey Kore’nin bankaları ve kripto para birimi borsalarına hack girişimlerinde bulunarak yaklaşık 2 milyar dolar kazandığı iddia edilmişti.