AhnLab Güvenlik İstihbarat Merkezi (ASEC), popüler metin ve kod düzenleyicisi Notepad++ kullanıcılarını hedef alan karmaşık bir siber saldırı tespit etti.
Bilgisayar korsanları, Notepad++ paketindeki varsayılan bir eklentiyi başarılı bir şekilde değiştirerek sayısız sistemin güvenliğini tehlikeye atma potansiyeline sahip oldu.
Söz konusu eklenti, “mimeTools.dll”, Base64 gibi kodlama işlevleri sağlayan Notepad++'ın standart bir bileşenidir.
Saldırganların kendi avantajlarından yararlandığı Notepad++ çalıştırıldığında otomatik olarak dahil edilir ve yüklenir.
MimeTools.dll dosyasını değiştirerek, kötü amaçlı kodu Notepad++ paketinin yasal bir parçası olarak gizlediler.
DLL Hijacking olarak bilinen bu tür saldırı, kullanıcının bilgisi olmadan gömülü kötü amaçlı kodu yürütmek için eklentinin otomatik yüklemesinden yararlanır.
Trustifi'nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Saldırı Akışı
Notepad++.exe dosyasının başlatılması, tehlikeye atılmış mimeTools.dll dosyasının yüklenmesini tetikleyerek gizli kötü amaçlı yazılımı etkinleştirir.
Saldırganlar, mimeTools.dll dosyasına şifrelenmiş kötü amaçlı kabuk kodu ve bunun şifresini çözüp yürütmek için gereken kodu yerleştirdiler.
ASEC'in incelemesi, değiştirilen pakette yer alan “certificate.pem” adlı dosyanın kötü amaçlı kabuk kodunu içerdiğini ortaya çıkardı.
Bulaşmaya rağmen eklentinin orijinal işlevleri bozulmadan kalıyor ve yalnızca DllEntryPoint değiştirilmiş kodu gösteriyor.
Bu, kullanıcının belirli bir eklenti özelliğini kullanmaya çalışıp çalışmadığına bakılmaksızın, kötü amaçlı etkinliklerin DLL yüklendiğinde başlayacağı anlamına gelir.
Kötü amaçlı yazılımın yürütme akışı şu şekildedir: Notepad++ çalıştırıldığında, virüslü mimeTools.dll yüklenir ve daha sonra bu kod, sertifika.pem dosyasındaki kabuk kodunun şifresini çözer ve çalıştırır.
Saldırının sonraki aşamaları, bir komut ve kontrol (C2) sunucusuyla iletişim sayesinde kolaylaştırılan ek kabuk kodunun çözülmesini ve yürütülmesini içerir.
Başlangıçta bir Wiki sitesi olarak gizlenen ve kötü amaçlı yazılımın “WikiLoader” takma adının ortaya çıkmasına neden olan C2 sunucusunun, o zamandan beri bir WordPress oturum açma sayfası görüntülediği tespit edildi.
Analiz sırasında, C2 sunucusunun yanıtında belirtilen konumdaki ek kabuk kodu boştu.
Ancak, daha fazla kötü amaçlı faaliyet potansiyeli önemli bir endişe kaynağı olmaya devam ediyor.
C2 sunucusunun URL'lerinin hâlâ erişilebilir olması, tehdit aktörlerinin istedikleri zaman yükü güncelleyebileceklerini veya taktiklerini değiştirebileceklerini gösteriyor.
Bu kötü amaçlı yazılımın keşfi, yazılımın yalnızca resmi dağıtım sitelerinden indirilmesinin öneminin açık bir hatırlatıcısıdır.
Kullanıcıların, kırık sürümlerle veya bilinmeyen kaynaklardan gelen yazılımlarla uğraşırken son derece dikkatli olmaları tavsiye edilir.
ASEC, kullanıcıların sistemlerini kontrol etmeleri için aşağıdaki güvenlik ihlali göstergelerini (IoC'ler) sağlamıştır:
- Güvenliği ihlal edilmiş paket dosyalarının ve tek tek bileşenlerin MD5 karmaları.
- Saldırıya katılan C2 sunucusunun URL'leri.
Güvenlik topluluğu bu tehdide karşı aktif olarak çalışmaktadır ve Notepad++ kullanıcılarına kurulumlarının bütünlüğünü doğrulamaları ve yazılımlarını resmi Notepad++ web sitesinden güncellemeleri şiddetle tavsiye edilmektedir.
Ayrıca, kötü amaçlı yazılımdan hiçbir kalıntı kalmadığından emin olmak için saygın bir antivirüs programı kullanılarak tam bir sistem taraması yapılması da önerilir.
Bu olay, siber tehditlerin sürekli gelişen doğasının ve dijital çağda sürekli tetikte olma ihtiyacının altını çiziyor. Kullanıcıların ve kuruluşların bu tür sinsi saldırılara karşı korunmak için bilgi sahibi olmaları ve sağlam güvenlik uygulamaları benimsemeleri gerekir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.