Yeni Keşfedilen Oltalama Saldırısı Eski Bir Tuzak ile Windows Trojanı Yayıyor

Quaverse Remote Access Trojan (QRat) adı verilen trojan (truva atı) yazılımı, siber korsanlara enfekte ettikleri bilgisayarlar üzerinde tam kontrol olanağı sağlıyor. Geleneksel oltalama e-postaları ile yayıldığı tespit edilen saldırının şifre ve diğer hassas bilgileri çalma hedefi üzerinden kullanıldığı kaydediliyor.

Söz konusu truva atı ilk kez 2015’te tespit edilmiş ve anlaşılması zor bir saldırı olarak hafızalarda kalmıştı. QRat, kendisine gizlilik sunan birçok katman kullanması ve enfekte ettiği bilgisayara uzaktan kontrol erişimi sağladığı için başarı elde etmişti.

QRat, şifre çalmak, keylogging (bir klavyeye işlenen tüm tuşları takip etmek), dosyaları açmak ve ekran görüntüleri almak gibi özellikleriyle bulaştığı bilgisayarlardan hassas bilgiler çalabiliyor. En son tespit edilen oltalama kampanyasında yayılan QRat’in, eski versiyonuna kıyasla fazlasıyla gelişmiş olduğu belirtiliyor.

Oltalama kampanyasında potansiyel kurbanlara “çok iyi yatırım getirisi” ile kredi imkanından bahsediliyor. Kötü amaçlı yazılım ise e-postanın eklentisinde konuyla bağlantılı bir dosya ile değil, ancak Donald Trump‘a ait bir video ile sunuluyor.

Güvenlik uzmanları bu yöntemin “gündemdeki” bir konu ile ilgi çekmeye çalışmak olduğunu düşünüyor. Hangi sebepten olursa olsun, eklentinin açılması bir Java Arşiv (JAR) dosyasının QRat kötü amaçlı yazılımını yüklemesini sağlıyor.

Tespit edilmemek için gizlilik katmanları kullanıyor…

Eski versiyonu gibi tespit edilmemek için gizlilik katmanları kullanan QRat’in, bu özelliğini daha da geliştirdiği ifade edildi. Kurnazlık unsuru olarak da yükleme esnasında beliren notlar kullanılıyor. Kullanıcıya “yükledikleri yazılım uzaktan erişim sağlayan trojan veya bir penetrasyon testi olabileceği” belirtiliyor. Eğer kullanıcı yüklemeyi kabul ederse, QRat modüler yükleme aracılığıyla kendi gizliliğini sağlamış oluyor.

Her ne kadar kullanıcıların bu kadar önemli bir uyarıyı kabul etme olasılıkları düşük kabul edilse de, merak faktörünün QRat’in başarı göstermesinde etkili olduğu bilgisi paylaşıldı.

Güvenlik uzmanları, kötü amaçlı JAR dosyaları ile RAT (uzaktan erişimli trojan) saldırılarının sık yaşandığını ve e-posta idarecilerinin e-posta güvenlik geçitlerinde JAR dosyalarını bloke etmeleri gerektiğini ifade etti.

Uzmanlar, gelecekte QRat saldırıları düzenleyen siber suçluların farklı oltalama yöntemleri deneyebileceğini de not düştü. Yapılan analizler sonucunda, “eklenti halindeki taşıma yükünün geçmişteki versiyonlara kıyasla daha gelişmiş olduğu, QRat saldırılarının daha modern oltalama yöntemleri ile kullanılması halinde çok daha başarılı olabileceği” belirtildi.