Bilgisayar Korsanları Kötü Amaçlı Yazılım Yaymak İçin Microsoft Office Dokümanını Silahlandırıyor


Bilgisayar Korsanları İş Ortamlarına Kötü Amaçlı Yazılım Yaymak İçin Microsoft Office Belgelerini Silahlandırıyor

Microsoft Office, kişinin Office365’te profesyonel bir iş raporu oluşturmasına veya üniversite makaleleri yazmasına, CV hazırlamasına, not almasına ve analiz yapmasına olanak tanır.

Bunlar, otomatik veri güncellemeyi mümkün kılan Excel’deki makrolar ve Python komut dosyaları gibi metin ve veri düzenleme olanağı sunar. Ancak kimlik avı ve kötü amaçlı yazılım saldırılarını gerçekleştirmek için kullanılabildiklerinden potansiyel siber silahlar olarak bilinirler.

COFENSE’deki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının iş ortamlarına kötü amaçlı yazılım dağıtmak için Microsoft Office belgelerini aktif olarak silah haline getirdiğini keşfetti.

Teknik Analiz

Örneğin, basit bağlantılar saldırı vektörleri olarak kullanılabilirken, QR kodları “CVE-2017-11882” ve “CVE-2017-0199” gibi güvenlik açıklarından faydalanılabilir.

All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo

Visual Basic for Applications (VBA) koduna katıştırılmış virüslü bir makro, dosya açıldığında otomatik olarak çalışacaktır.

Tehdit aktörleri, e-posta ve bulut paylaşım hizmetleri aracılığıyla markaları kandırarak bu belgeleri yayıyor. Bunlar, işletmelerin kullanıcıları korumak için dikkat etmesi gereken yaygın tehditlerdir.

Tehdit aktörleri, kimlik bilgilerine yönelik kimlik avı tuzakları ve kötü amaçlı yazılım yükleri sunmak için işbirlikçi olarak gömülü bağlantılar, QR kodları ve kötü amaçlı makrolar içeren ofis belgelerinin en çok tercih edilen saldırı vektörü olduğunu buldu.

İçinde gömülü QR kodu bulunan Kimlik Avı e-postası (Kaynak - COFENSE)
İçinde gömülü QR kodu bulunan Kimlik Avı e-postası (Kaynak – COFENSE)

Kimlik avı sayfalarına sıradan belge bağlantıları gibi görünen yollarla erişilebilirken, QR kodları güvenlik kontrollerinden kaçabilir.

Microsoft kimlik avı sayfası (Kaynak - COFENSE)
Microsoft kimlik avı sayfası (Kaynak – COFENSE)

Kötü niyetli kullanıcılar, Office’in Visual Basic for Applications (VBA) özelliğini kullanarak, değiştirilen dosyaları açtıktan sonra makro tarafından çalıştırılan kötü amaçlı yazılımların otomasyonundan da yararlanır.

Kullanılan yöntem ne olursa olsun, bu saldırılar Office uygulamalarının yaygın şekilde benimsenmesinden yararlanıyor; bu da kullanıcıların dikkatli olmasını ve zararsız görünen belgelerden kaynaklanan riskleri azaltabilecek güçlü güvenlik önlemleri almasını gerektiriyor.

Microsoft, 2022’de yetkisiz makroların Office dosyaları üzerinde çalışmasını varsayılan olarak kısıtlayan güvenlik güncelleştirmeleri dağıtarak, kullanıcılardan zararlı olabilecek programları etkinleştirmeden önce izin vermelerini istedi.

Ancak bazı bilgisayar korsanları, kurbanlar bu uyarıları atladığında kötü amaçlı yazılım saldırıları başlatmak için hâlâ VBA makrolarını kullanıyor.

Makro yükleri, çeşitli saldırı aşamalarında farklı URL’ler aracılığıyla kötü amaçlı yazılımları almak ve çalıştırmak için genellikle PowerShell’den yararlanır.

Büyük botnet’leri etkileyen kolluk kuvvetlerinin eylemleri, bir zamanlar Emotet gibi son derece aktif kötü amaçlı yazılımlar arasında çok popüler olan makro tabanlı saldırılarda bir düşüşe yol açtı.

Benzer şekilde, kötü amaçlı yazılım yüklü Office tabanlı makrolar, Microsoft’un makro ambargosunu kolayca atlatan sosyal mühendislik taktiklerine duyarlı, her zaman mevcut bir tehlike olmaya devam ediyor. Bu nedenle kullanıcıların dikkatli olması ve söz konusu riskleri ortadan kaldırmak için sistemlerini güçlü güvenlik önlemleriyle kurması gerekir.

Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.



Source link