"Gootkit", "Gooloader" olur: Bankacılık Truva atları, çoklu saldırı vektörleriyle karmaşık kötü amaçlı yazılım platformlarına dönüşür.
Gootkit kötü amaçlı yazılım ailesi, iyi bilinen bir uşaktır - başlangıçta bankacılık işlem verilerini çalmaya odaklanan ve bugün Cobalt-Strike analiz aracını, bankacılık kötü amaçlı yazılımı Kronos'u ve REvil fidye yazılımını kullanan bir Truva atı. BT güvenlik uzmanları, 2020'de kötü amaçlı yazılımla ve özellikle de akıllı aktarım mekanizmalarıyla zaten yoğun bir şekilde ilgilendiler. Yeni olan şey, saldırganların kötü amaçlı yazılımı çoklu yük platformuna genişletmiş olmasıdır. Sosyal mühendislik de dahil olmak üzere değişken saldırı mekanizmalarıyla şu anda en çok Almanya, ABD ve Güney Kore'de aktif. Güncelliği ve platform karakteri nedeniyle, SophosLabs'teki güvenlik uzmanları çok-yüklü kötü amaçlı yazılıma kendi adını verdiler: Gootloader.
Gootloader'lar önce web sitelerini hedefler
Gootloader saldırganları yasal web sitelerini hackler, onları kurnazca değiştirir ve ayrıca sahte web sitelerini kullanıcılara Google Arama gibi arama motoru sorgularında en iyi sonuçlar olarak göstermek için SEO'yu manipüle eder. Yerelleştirilmiş sahte web sitelerine ek olarak, belirli ülkelere hedeflenen odaklanma o kadar ileri gidiyor ki, "hedef olmayan ülkelerden" bu tür bir web sitesine giren kullanıcılar yalnızca rastgele sahte içerik görüyor ve başka hiçbir şey olmuyor.
"Gootloader'ın yaratıcıları, teknolojiden anlayan BT kullanıcılarını bile kandırabilen bir dizi sosyal mühendislik hilesi kullanıyor. Ancak, dikkat edilmesi gereken uyarı işaretleri var," dedi Sophos'un tehdit araştırma direktörü Gabor Szappanos. "Buna, sunulan tavsiyeyle hiçbir mantıksal bağlantısı olmayan web sitelerine işaret eden Google arama sonuçları da dahildir. Ayrıca, ilk soruda ve forum tarzı sayfalarda kullanılan arama terimleriyle tam olarak eşleşen ipuçları da göze çarpıyor.”
Yük sistemlerine karşı aktif koruma
Siz de kendinizi Gootloader gibi yük taşıma sistemlerine karşı aktif olarak korumak istiyorsanız, Windows Gezgini klasör seçeneklerinden 'Bilinen dosya türleri için uzantıları gizle' işlevini devre dışı bırakabilirsiniz. Bu, kullanıcıların saldırganlar tarafından sağlanan ZIP paketinin .js uzantılı bir dosya içerdiğini görmelerini sağlar. Javascript dosyaları, bilgisayar korsanlığı girişimleri için tekrar tekrar kullanılır ve böyle indirilmiş bir dosyanın çalıştırılması her zaman alarm zillerini çalmalıdır. Ayrıca Firefox için NoScript gibi komut dosyası engelleyiciler, saldırıya uğramış bir web sitesinin sahte içeriğini engelledikleri için bu tür saldırılara karşı güvenlik sağlayabilir.”
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.