Siber suçlular bir kez daha olay tabanlı toplum mühendisliği yapma peşinde koşuyor ve sahte Microsoft kullanıcı bildirimleri ile Microsoft'un bu Salı yayınlayacağını duyurduğu yamayı kullanarak; üzerlerine "Trojan.Backdoor.Haxdoor" adlı Truva atı iliştirilmiş ve yalan yanlış bilgiler içeren sahte PGP imzalarına sahip postalarla kullanıcıların sistemlerine sızmaya çalışıyorlar.
"Müşterilerimizden; Microsoft'dan geldiğini iddia eden bir güvenlik elektronik postasının dolaşımda olduğu yönünde bazı mesajlar aldık, doğal olarak gerçek olup olmadığını merak etmişlerdi. Elektronik postaya ulaştığımızda ilk fark ettiğimiz şey, postaya en son güvenlik yaması olduğunu iddia edilen bir uygulama dosyasının iliştirildiği ve kullanıcıların işletim sistemlerinin güvenliğini sağlamak için bu postayı yüklemeleri gerektiğiydi. Kendilerini, Microsoft güvenlik yamalarından biri şeklinde tanımlayan dosya iliştirilmiş e-postalar yeni olmasa da (bu sorunla yıllardır karşılaşıyoruz) bu seferki Microsoft güvenlik danışmanlarından Steve Lipner tarafından imzalı olması ve iliştirilmiş PGP imza blokları barındırmasıyla ilginç bir örnek."
Bunlar elektronik postanın inandırıcılığını arttırıcı etmenlerden de olsa; size kısaca şunu söyleyebilirim ki bu meşru bir e-posta değil; sadece biraz yalan haber; biraz da kötü niyetli yazılım barındıran bir aldatmaca. Hatta barındırdığı kötü niyetli yazılım da güvenlik çevrelerinde "Backdoor:Win32/Haxdoor." kod adıyla biliniyor.
Peki, kötü niyetli yazılım yaymanın temel hedef olduğu böyle durumlarda; zamanlama her şey mi demek? Hayır doğru zamanlama şart değil.
Buna karşın; PGP imzasının yanı sıra, gerçek bir Microsoft çalışanının adını vermek gibi kullanıcıya güven vermek için yapılan küçük dokunuşlar da göz ardı edilemez. Bu gibi dolandırıcılık çetelerinin gönderdiği sahte güvenlik bildirimi elektronik postaları git gide daha da yaygınlık kazanacak ve kaliteleri artacaktır. Bu şartlar altında kullanıcıları koruyacak temel etmen bilinçtir. Eğer kullanıcı yeterince bilinçli olursa, Microsoft'un yalnızca işletim sistemindeki kendi otomatik güncelleme programı aracılığıyla gerekli iyileştirmeleri yaptığını bilir ve bu tip elektronik postaların hiçbirinin gerçek olamayacağının farkında olduğundan doğrudan siler.
Bu sahte elektronik postanın içerdiği kötü niyetli yazılımın çalıştırıldığında hangi işlemleri gerçekleştirdiğine bakacak olursak; pek çok TCP portunu bilgisayar korsanlarının uzaktan bağlantı yoluyla sisteme erişmelerini sağlayacak şekilde açtığını, bilgisayardan bazı bilgileri çaldığını ve dosyalar indirdiğini görüyoruz. Bu sahte güvenlik elektronik postasına iliştirilen dosyaların isimleri değişse de isimleri KBxxxxxx.exe şeklinde oluyor ve xxxxxx'lerin yerini 6 haneli bir rakam alıyor. Bu e-posta ve türevlerinde karşılaştığımız kötü niyetli yazılımlardan bazılarının isimleri şöyle;
KB199250.exe
KB246586.exe
KB535548.exe
KB572906.exe
KB763412.exe
İstemci tarafının açıklarından faydalanan; Amerika Birleşik Devletleri'ndeki okulları hedefleyen kötü niyetli yazılım saldırısı ve devasal sahte CNN haberleri kampanyalarıyla karşılaştırıldığında zamanlamasına bakmaksızın bu sahte güvenlik elektronik postasına iliştirilmiş Truva Atı tabanlı saldırının başarılı olma yüzdesini çok düşük olarak niteleyebiliriz.