Bu mesajı sakın açmayın: Sipariş listesi ektedir, fiyat teklifinizi bekliyoruz…
Türkiye'ye özel geliştirilen 'Oto Gönderici' adlı siber Tehdit Türkiye'deki şirketlerin başına tam anlamıyla bela oldu. Türkçe hazırlanmış spam e-postalarla yayılan bu saldırıda, ekli Excel dosyalarıyla şirketlerin sistemlerine sızmaya çalışılıyor. Bu saldırı tekniğinde en çok kullanılan ifade ise şu: "Ekteki sipariş listesi için fiyat teklifinizi bekler, iyi çalışmalar dileriz… Cevabınızı bekliyoruz, saygılarımızla"
Siber güvenlik uzmanları, 2018 yılının sonbahar aylarından bu yana istenmeyen e-posta mesajları aracılığıyla yayılan ve özellikle Türkiye’deki şirketleri ağına düşürmeyi hedefleyen “Oto Gönderici” adlı tehdide karşı uyardı.
Özellikle kurumları hedefleyen ve bunun için de kurumsal e-posta adreslerine odaklanan ‘Oto Gönderici’yi yakın takibe alan siber güvenlik kuruluşu Sophos’un uzmanları, bulgularını detaylı bir rapor eşliğinde paylaştı. Geçen yılın sonbahar aylarından beri yoğun ‘spam’ kampanyalarıyla Türkiye’deki şirketleri baskı altında tutan bu tehdit, kullandığı alışılmadık yöntem sayesinde bazı uç nokta güvenlik çözümlerinin gözünden kaçmayı başarıyor.
Eğitimden sağlığa, kamudan enerjiye tüm sektörleri tehdit eden Oto Gönderici, kullandığı “Excel Formula Injection” adlı alışılmadık saldırı tekniği sayesinde bazı uç nokta güvenlik ürünlerinin gözünden kaçabiliyor. “Oto Gönderici” tehdidinde en çok karşılaşılan ifadeler ise şunlar: “Ekteki sipariş listesi için fiyat teklifinizi bekler, iyi çalışmalar dileriz… Cevabınızı bekliyoruz, saygılarımızla…”
Bir süredir Türkiye’deki kurumları etkisi altına alan bu tehdit, Türkçe hazırlanmış spam mesajları aracılığıyla yayılan dosya eklerinin açılmasıyla bulaşıyor. Nadir olarak uluslararası alanda görülen tehdidin Türkiye dışında da Türkçe dilini kullanması ve diğer bazı ipuçları, tehdidin Türkiye’de doğmuş olabileceğine işaret ediyor.
Gönderilen mesajların benzer ifadelere sahip olması ve gönderim için seçilen adreslerin genelde info@ posta kutularına yönlendirilmesi, saldırıların özel bir kurum veya sektör yerine genel dağıtıma odaklandığını gösteriyor.
OTOMASYON SİSTEMİ KURMUŞLAR, VAZGEÇMEYE NİYETLERİ YOK!
Oto Gönderici, istenmeyen e-posta eklerinde yer alan dosyaların açılmasıyla sisteme bulaşıyor. Zaman içinde farklı yöntemler deneyen tehdidin favorisi geçen yıl keşfedilen Excel Formula Injection adlı teknik. Excel Formula Injection, metin tabanlı CSV tabloların içine ustaca gömülen kodlar yardımıyla PowerShell’i aktif hale getirerek saldırganlara ait internet sunucularından Truva Atı yazılımının indirilmesini ve kurulmasını sağlıyor.
Microsoft Excel’in söz konusu dosyanın kod çalıştırmaya hazırlandığına dair yaptığı uyarılara rağmen kullanıcı onay verip devam eder ve saldırı başarılı olursa, Adwind veya FareIt gibi Truva Atı yazılımlarının yüklenmesiyle sistemler yetkisiz erişime açık hale getiriliyor.
Oto Gönderici, diğer özelleşmiş tehditlere kıyasla daha basit bir yapıya sahip olsa da gücünü saldırganların inatçılığından alıyor. Geçen yıldan bu yana ortaya çıkan ve giderek sürekli gelen yeni örnekler saldırganların vazgeçmeye niyetli olmadığını, gönderimlerin ısrarla devam ettiğini, hatta bu iş için otomasyon sistemi kurulduğunu da gösteriyor.
Uzmanlar, bu tarz kaynaklardan gelen e-postalar konusunda kullanıcıları uyaran uzmanlar, bu e-postaların eklerinde bulunan Excel tabanlı dosyaları açmamaları ve kullanılan ifadelerdeki imla kurallarına dikkat edilmeleri konusunda uyarıyor.
