Sokağa çıkma yasağı kalktı, o tehlike geri döndü

Rovnix bootkit, 2013’te kaynak kodu sızdırılana kadar son aşama tanınan bir zararlı yazılımdı. Bu hadiseden sonra kaynak kod tüm güvenlik markaları ve ilgili kurumlar tarafından incelendi. Lakin, Nisan 2020’de Kaspersky’nin tehdit takip sistemleri bu ünlü bootkit’i içeren zararlı belgeler tespit etti. Evraklar “Dünya Bankası’nın koronavirüs salgınıyla ilgili yeni girişimi” başlığıyla Rusça olarak dağıtıldı.

Yenilenen bootkit’te kullanıcı hesabı murakabesini (UAC) aşma mekanizması, cihazdaki salahiyetleri artırma yeteneği ve umumiyetle bu bootkit ile ilgisi olmayan yeni bir yükleyici üzere bir seri gelişme tespit edildi. Tespit edilen belgeler tahlil edildiğinde, yüklenen zararlı kesimin aslen Truva atı ve casus yazılım özelliklerine sahip bir art kapı olduğu anlaşıldı. Bu program cihaza yüklendiğinde saldırganlar cihaza erişerek çeşitli haberler toplayabiliyor.

Bootkit, “on the new initiative of the World Bank in connection with the coronavirus pandemic.exe” isimli evrakla yayılıyor. Kendi kendine genişleyen bu belge bir belgeyi ve zararlı evrakın kendisini içeriyor. Saldırıyı daha ikna edici kılmak için dokümanda Dünya Bankası’nın yeni bir teşebbüsüyle ilgili haberler, kurumdan gerçek insanlar tarafından yazılmış üzere sunuluyor. Lakin, evrak açıldığında bootkit yüklenerek cihazı etkilemeye başlıyor.

Kaspersky Güvenlik Analisti Alexander Eremin, “Bu örnek iki şey gösterdi. Öncelikle eski bir tehdidin geri dönmeyeceğinden asla emin olamayacağımızı gördük. İkincisi ise siber hatalıların ne kadar süratli ahenk sağladıklarına şahit olduk. Bu kimseler kullandıkları araçlarda çok daha esnek olabiliyor ve gündemdeki mevzulara yakın ilgi gösteriyor. Yaptığımız tahliller, kaynak kodu paylaşılan bir tehdidin, Rovnix’te olduğu üzere sürprizler yapabileceğini gösterdi. Müdafaa tekniklerinden kaçınmak için kendi araçlarını geliştirmekten kurtulan siber hatalılar, zararlı yazılımın becerilerine daha fazla ihtimam göstererek kaynak koda ekstra özellikler ekleyebiliyor.” dedi.