Covid-19 ile Alakalı Scam Mail Türevleri

Dünya çapında COVID-19 salgını devam ederken insanlar evlerine kapanmış bir şekilde aşı bekliyor. Sokağa çıkma yasakları, maske, siper, gözlük, eldiven, dezenfektan gibi hayatımıza bir anda sertçe giren bu kavramlar insanları tedirgin ediyor. Şimdilik herhangi bir aşıya da sahip değiliz. Sonuç olarak bu endişeli durum bazı insanları alternatif çözümler aramaya itiyor. Bu tarz arayışlar içinde olan kişilerin kötü niyetli hacker grupları tarafından hedef alınmamaları ise neredeyse imkânsız. Sağlık tavsiyeleri, koruyucu diyetler ve tabii ki sözde tedavi yöntemleri internette fırtına gibi esiyor. E-kitaplar ve bilgilendirme paketleri şimdiden mesaj kutularını doldurmaya başladı bile. Keylogger ve ransomware türü veri çalan yazılımlar çuvalla önümüze dökülüyor.

İsterseniz durumun vahametini anlamak için dünya çapında bazı örneklere göz atalım.

·         14 Mart tarihinde @dustyfresh adlı Twitter kullanıcısı, 24 saat içinde COVID-19 bağlantılı 3600 host adının ortaya çıktığını gözlemleyen bir web tracker yayımladı.

·         17 Mart’ta güvenlik araştırmacısı ve python geliştiricisi @sshell_, potansiyel risk taşıyan coronavirus bağlantılı domainleri taramaya yarayan ThugCrowd destekli bir aygıt geliştirdi. Linke tıklayarak her dakika hortlayan siteleri görebilirsiniz.

·         RiskIQ geçtiğimiz hafta sonu 13.000 şüpheli domain tespit etti. Hemen ertesi gün 35.000 domain daha ortaya çıktı.

Malwarebytes ekibinin tespit ettiği e-posta yoluyla dolandırıcılık türlerine bakalım şimdi de.

Dünya Sağlık Örgütü’nü (WHO) taklit etmek

Hafta başında Dünya Sağlık Örgütü adı altında insanlara e-posta gönderildiği ve bilgilerinin çalındığı keşfedildi. Bu yöntemde öncelikle kişiye sağlık tavsiyeleri içeren bir e-kitap yollanıyor. Dosyaya tıklanıldığı anda GuLoader adlı bir downloader kodu bilgisayara yükleniyor. Daha sonra GuLoader sisteminize FormBook adlı bir Trojan yüklüyor. İnternetteki en popular veri çalma yazılımlarından biri olan Formbook; Windows panosu, keylogging ve browser geçmişini kullanarak tüm verilerinizi cebe atıyor.

Agent Tesla Keylogger kampanyası

18 Mart’ta tespit edilen Agent Tesla adlı keylogger, yine e-postalar üzerinden sistemlerimize giriş yapıyor. 2018 yılında 3 ay içinde %100 daha fazla faaliyet gösteren bu keylogger, kullanıcıların tüm kişisel bilgilerini çalabiliyor. Bunun için de browser, ftp ve e-posta üzerinden verilerinizi tırtıklayıp Instagram, Twitter, Facebook hesaplarınıza saldırıyor, hatta ekran görüntüsü ve video kaydı bile yapıyor.

“sarah@who.com” adresiyle insanlara ulaşan hackerlar “COVID-19’a bağışıklık kazanmak için ipuçları!” başlığını kullanıyor. Fark ettiyseniz mail adresi “.com” ile biterken WHO’nun gerçek e-mail adresleri ise “.int” ile bitiyor. Sözde Dr. Sarah Hopkins imzalı olan bu pdf dosyası, muhtelif beslenme yöntemleriyle insanların virüsten korunabileceğini iddia ediyor. Tabii çabuk bir arama taramayla Sarah Hopkins adlı bir WHO çalışanı olmadığını görüyoruz. Sahtekârların verdiği +1 470 59828 telefon numarası da çalışmıyor.

Agent Tesla kampanyası 2

Tabii Agent Tesla durur mu, farklı farklı yöntemlerle saldırılar devam ediyor. “World Health Organization/Let’s fight Corona Virus together” başlığıyla mesaj kutularımızı dolduran hackerlar, bu sefer kısa bir mektup da yazıyor. Fark ettiyseniz Corona ve Virus kelimeleri arasında boşluk var ve gereksiz bir şekilde baş harfleri büyük. Yukarıda bahsettiğimiz GuLoader yönteminde de benzer bir imla hatası bulunuyor.

Yazılan mektupta WHO yetkililerinin nasıl canla başla çalıştığı, insanların tedirgin olduğu, her şeyin düzeleceği gibi şeyler uzun uzadıya yazılırken “COVID-19 WHO RECOMMENDED V.gz.” adlı sözde bilgilendirici dosyanın indirilmesi isteniyor. Böylece yine bilgisayarınızda bulunan veriler hortumlanıyor.

NetWire Remote Access Trojan

Tespit edilen WHO taklitçilerinden biri de tabii ki Netwire Remote Access Trojan yani RAT kullanıyor. RAT’in en büyük avantajı ise hackerların bilgisayarınıza uzaktan erişim sağlayıp hakimiyet kurmaya izin vermesi.

RAT’in yarattığı etki oldukça yıkıcı olabilir. Bu yüzden kullanıcıların RAT’i tespit ettiği anda tüm kullanıcı adı ve şifrelerini başka bir bilgisayar kullanarak değiştirmeleri gerek. Ayrıca banka hesap hareketlerinin takibi de oldukça önemli.

Dr. Stella Chungong adıyla “brennan@caesars.com” adresinden gelen bu e-posta, “SAFETY COVID-19 (Coronavirus Virus) AWARENESS – Safety Measures” başlığını taşıyor ve coronavirüsten korunma yöntemleri içeriyor. İbadullah imlâ hatası içeren bir paragraftan sonra bir dosya indirmeniz isteniyor. Gerisi malum zaten.

HawkEye veri hırsızı

Bir diğer zararlı spam e-posta ise 2013’ten beri interneti bazı insanlara zehreden HawkEye adlı yazılımı kullanıyor. DR JINS (CORONA VIRUS)” adlı kullanıcıdan gelen mesajda “değerli okuyucu, lütfen coronavirüs tedavisi için ekteki dosyayı indirin” sözlerini görüyoruz.

Birleşik Krallık GuLoader kampanyası

15 Mart tarihinde Birleşik Krallık ’ta ortaya çıkan başka bir vakada ise yine GuLoader gözlere çarpıyor. Ülke çapında enfekte insanların güncel sayılarını ve yaşadıkları bölgeyi gösteren bir dosya içeren e-posta, paris@mfa.go.ke” adresiyle Kenya’dan gönderiliyor.

İspanya’yı hedef alan saldırı

Son olarak 18 Mart tarihinde İspanya vatandaşlarına toplu hâlde “Vacuna COVID-19: prepare la vacuna en casa para Usted y su familia para evitar COVID-19” başlığıyla bir e-posta atılıyor ve evde aşı nasıl yapılır, ailenizi nasıl korursunuz gibi uyduruk tedavi yöntemlerinden bahsediliyor. Sözde Adriano Enrico tarafından imzalanan bu yazı, 93 784 50 17 şeklinde bir faks numarası da içeriyor.

Kendinizi koruyun

Bu krizin ne zaman biteceği kesin değil. Bu nedenle WHO’nun kendi sitesinden günlük raporları takip etmenizi tavsiye ediyoruz.

·         Günlük raporlar

·         Efsane avcıları sayfası

·         Soru ve cevap sayfası

Ayrıca Covid-19 tracker app gibi uydurma mobil uygulamalardan uzak durmak gerekiyor. Bu uygulamanın ve türevlerinin 1 hafta içinde binlerce insanın telefonunu kitlediği, 100 dolar fidye ödenmezse bütün kişisel verilerin silineceği gibi tehditler ortamda bolca geziyor. Siz siz olun, sağlık bakanlığı ve uluslararası resmi kuruluşlar dışında kimsenin lafına güvenmeyin. Evde kalın!

Kaynak

Exit mobile version