Microsoft Teams’deki kusurlardan yararlanan yeni bir siber saldırı türü, görünüşte zararsız GIF’ler kullanarak veri çalmayı mümkün kılıyor. Çevrimiçi güvenlik danışmanı Bobby Rauch tarafından keşfedilen kötü niyetli kampanya, geçtiğimiz Perşembe günü BleepingComputer tarafından detaylandırıldı.
“GIFShell” adlı teknik, kurbanın cihazına, bir kimlik avı saldırısı yoluyla gerçekleştirilebilen, Microsoft’un habercisinden gelen günlükleri analiz eden kötü amaçlı yazılım olan bir “hazırlayıcı” kurulumuyla başlar. Bu kötü amaçlı dosya, Teams’i boşluklara karşı sürekli olarak tarar.
Ayrıca bkz: HUAWEI, IFA 2022’de 15 Ödül Kazandı!
Ardından, siber suçlular, değiştirilmiş GIF’leri kullanarak, kendileri tarafından kontrol edilen sunucularda çalışan ancak Şirketin yapısı üzerinde çalışan mesajlaşma programı aracılığıyla hedefle iletişim kurar. Bu noktada, eylemden sorumlu olanlar, hedef makinede kötü amaçlı kod yürütmeye başlar.
Kurban, kötü niyetli GIF’i aldığında, sahneleyici kodlanmış komutları çıkarır ve siber suçlular tarafından belirlenen, veri çalmaktan farklı türde siber saldırılar gerçekleştirmeye kadar değişen eylemleri gerçekleştirmeye hazırdır. Kötü amaçlı yazılım, bilgisayarda etkinken yeni komutlar almaya ve bunları yürütmeye devam edebilir.
İçindekiler
Zor tespit
Rauch’a göre, Microsoft Teams’de veri çalmak için kötü amaçlı GIF’lerin kullanılması, tespit edilmesi zor bir eylemdir. Bunun nedeni, kampanyada habercinin meşru ağının kullanılması, çıkarılan bilgilerin program aracılığıyla yapılan iletişimlerle karıştırılması ve antivirüs ve diğer güvenlik araçlarının çalışmasını engellemesidir.
Buna rağmen, büyük teknoloji henüz sorun için bir düzeltme üzerinde çalışmıyor. Bu yılın Mayıs ayında araştırmacılar tarafından hatalar hakkında uyarılan şirket, “küçük güvenlik açıklarının müşteriler için acil bir risk oluşturmadığını” ve bunların sömürülmesinin kullanıcı tarafından yapılan birkaç adıma ve hatalara bağlı olduğunu vurguladığını söyledi.
Windows sahibi yaptığı açıklamada ayrıca bir güvenlik güncellemesinin gelecekte ekarte edilmediğini, ancak herhangi bir son tarih belirtmediğini söyledi. Şu ana kadar GIFShell’in siber saldırılarda kullanımına dair bir bilgi yok.
tarafından verilmektedir.