Kısayol dosyalarını, hedef sistemde kötü amaçlı kod yürütmenin göze çarpmayan bir yolu olduğu için bilgisayar korsanları silah olarak kullanır.
Bu dosyalar zararsız simgeler gibi görünebilir ancak aslında tıklandığında zararlı komut dosyaları veya programları başlatan komutlar içerebilir.
Bu teknik, saldırganların güvenlik önlemlerini aşmalarına, yetkisiz erişim elde etmelerine veya kullanıcıların görünüşte zararsız masaüstü kısayollarına olan güvenini suistimal ederek yükleri teslim etmelerine olanak tanır.
CheckPoint’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının Windows kullanıcılarına saldırmak için kısayol dosyalarını Zero-day (CVE-2024-38112) hileleriyle aktif olarak silahlandırdığını tespit etti.
Hackerlar Kısayol Dosyalarını Silahlaştırıyor
Modern tarayıcı korumaları, Windows İnternet Kısayol dosyaları (.url) kullanılarak Microsoft’un Internet Explorer’ında uzaktan kod çalıştırılmasıyla aşılmaya çalışılıyor.
Emekliye ayrılan IE, Ocak 2023’ten bu yana kullanılıyor ve güncellenmiş Windows 10 ve Windows 11 makinelerini bile hedef almak için kullanılıyor.
Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Burada tehdit aktörleri, IE kullanımını zorlayarak ve kötü amaçlı .hta uzantılarını gizleyerek uzaktan kod yürütmede birçok avantaj elde ediyor.
“Mhtml”nin bu hilesi daha önce CVE-2021-40444 saldırılarında görülmüştü ve şimdi tehdit aktörleri tarafından .url dosyalarını istismar etmek için kullanılıyor.
Bunu başarmak için Windows İnternet Kısayolu dosyaları belirli bir URL biçimini (mhtml:http://…!x-usc:http://…) kullanır.
PDF bağlantısını taklit ederek modern tarayıcı güvenliğinin aşılmasını sağlıyor ve dolayısıyla Internet Explorer kullanımını zorunlu kılıyor.
Bu, tam yama uygulanmış Windows 11 sistemlerinde uzaktan kod yürütülmesine olanak tanır.
Kötü amaçlı .url dosyaları, bağlantıları modern tarayıcılar yerine kullanımdan kaldırılan Internet Explorer’da açmak için Windows kısayollarını kullanıyor.
Bu, güvenlik önlemlerini atlatarak saldırganların Windows 10 ve Windows 11 sistemlerinde uzaktan kod yürütmesine olanak tanıyor.
Araştırmacılar, IE açıklarına ihtiyaç duymayan tekniğin en az Ocak 2023’ten beri kullanıldığını söyledi.
Saldırıda iki tür yanıltıcı yöntem kullanılıyor: Daha güvenli tarayıcılar yerine Internet Explorer’ın kullanılmasını sağlayan “mhtml” saldırısı ve kötü amaçlı bir .hta dosyasını PDF olarak gizleyen IE’ye özgü saldırı.
Dosyanın adı, kullanıcıları zararsız bir PDF açtıklarını düşünmeye sevk etmek için görünmez, yazdırılamayan karakterler ve ardından gizli bir .hta uzantısından oluşuyor.
Bunun yanı sıra Microsoft, 16 Mayıs’ta bildirilen güvenlik açığını gideren bir yama (CVE-2024-38112) 9 Temmuz 2024’te yayınladı.
Sonuç olarak IE’nin Korumalı Modunu atlatmak, kullanıcı tarafından göz ardı edilmesi durumunda sistemin tehlikeye girmesine yol açabilecek iki aşamalı bir aldatmacadır ve kullanıcı daha sonra indirme işlemine devam eder.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo