Excel Dosyasıyla Güvenlik Sistemlerini Atlatan Bir Yöntem Bu
TikTok’un çocuklara etkisi düşündüğünüzden fazla!
TikTok, çocuk içerikleri yüzünden ABD’de davalık oldu. Bazı eyaletler, sosyal medya platformunun yanıltıcı olduğunu söylüyor.
Xiaomi Mix Flip’te uydu desteği olacağı kesinleşti
Xiaomi’nin yeni katlanabilir telefonu Mix Flip, uydu bağlantı desteği ile sertifika aldı, bu özellikle kullanıcılara daha geniş kapsama alanı ve güvenilir bağlantı sunuyor.
Tecno Phantom V2 Fold, Geekbench’te önemli özellikleriyle ortaya çıktı
Tecno’nun katlanabilir akıllı telefonu Phantom V2 Fold, Geekbench testinde görülen anahtar özellikleriyle dikkat çekiyor, katlanabilir telefon pazarında yeni bir oyuncu olarak yerini alıyor.
Snapdragon 8 Gen 3, Exynos 2400’ü geride bıraktı
Snapdragon’ın yeni 8 Gen 3 işlemcisi, Galaxy S24 serisindeki erken benchmark testlerinde Exynos 2400 modelini geride bırakarak, performans konusunda yeni standartlar belirliyor.
Hackerların sistemlere girebilmek için kullandıkları yöntemler bazen gerçekten şaşkınlık yaratabiliyor. Yine bu şaşkınlık yaratan yöntemlerden yeni bir tanesi daha keşfedildi. Bir kötü amaçlı yazılım grubu, zararlı Excel dosyaları oluşturdu. Oluşturulan bu dosyaların tespit edilme oranı bir hayli düşükken güvenlik sistemlerini atlatma oranı da bir o kadar yüksek.
NVISO Lab’deki güvenlik araştırmacıları tarafından keşfedilen Epic Manchego isimli bu kötü amaçlı yazılım grubu, haziran ayından bu yana aktif ve zararlı Excel dosyaları içeren e-postalarla dünya genelindeki şirketleri hedef alıyor. NVISO tarafından yapılan açıklamaya göre bunlar, standart Excel tabloları değil. Bu zararlı Excel dosyaları, güvenlik tarayıcılarını atlatabiliyor.
Zararlı Excel dosyaları
NVISO Lab’e göre güvenlik tarayıcılarını atlatabilmelerinin sebebi, standart Microsoft Office yazılımlarıyla değil EPPlus adı verilen .NET kütüphanesiyle derlenmeleri. Bu kütüphane, birçok formatta tablo oluşturmak için kullanılabiliyor ve hatta Excel 2019’u da destekliyor. NVISO, Epic Manchego tarafından oluşturulan Office Open XML (OOXML) tablolarında, Microsoft Office yazılımlarında derlenen Excel dokümanlarına özel olarak bulunan derlenmiş VBA kodunun yer almadığını söyledi.
Bu derlenmiş VBA kodu, genellikle saldırganın zararlı kodunun bulunduğu yer oluyor. NVISO, Epic Manchego’nun zararlı kodlarını özel bir VBA formatında depoladığını ve bunun da şifreli olduğunu, bu sayede güvenlik sistemlerini ve içeriği analiz eden araştırmacıları atlatabildiğini ifade ediyor. Ayrıca bu zararlı Excel dokümanlarını oluşturmak için farklı bir metot kullanılsa da EPPlus tabanlı tablolar herhangi bir Excel dokümanı gibi çalışıyor.
Zararlı dokümanlar, zararlı makro kodları içerisinde barındırıyor. Eğer ki Excel dosyasını açan kullanıcı, düzenlemeyi etkinleştir butonuna tıklarsa bu makro kodlar, zararlı yazılımı kurbanın bilgisayarını indirip yüklüyor. Son olarak Azorult, AgentTesla, Formbook, Matiex ve njRat gibi bilgi çalan Truva atı virüsleri kullanıcının tarayıcılarını, e-postalarını ve FTP istemlerini Epic Machengo’nun sunucularına gönderiyor.
Zararlı Excel dosyaları oluşturmak için EPPlus kullanmak başlangıçta Epic Manchego’nun yararına olsa da uzun vade de grubun aleyhine işliyor. Tuhaf Excel dosyaları taranarak Epic Manchego’nun geçmişteki operasyonları takip edilebiliyor. NVISO da bu yöntemle Epic Manchego grubuyla ilişkili 200’den fazla zararlı Excel dosyası tespit etti. Bu dosyaların ilkinin ise 22 Haziran tarihli olduğu keşfedildi.
NVISO, grubun bu teknikte deneyim kazandığını ve ilk saldırıdan sonra hem saldırılarını hem de saldırılarının karmaşıklığını artırdıklarını ifade etti. Ayrıca bu saldırılarının gelecekte daha geniş bir kullanım alanı bulabileceğini de dile getirdi.
Kaynak: Webtekno
