Sahte Flash Player Tehlikesi
 

Facebook ve Twitter Aracılığıyla Gelen Sahte Flash Player Tehlikesi

Facebook ve Twitter aracılığıyla yayılan bir tehdit tanımlandı. Tehdidin çıkış noktası bu iki platformdaki kaynağı belirsiz linklere tıklanmasıdır.


[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Sırasıyla aşağıdaki resimlerde de göreceğiniz gibi; Twitter ve Facebook’ taki yönlendirilmiş linklere tıkladığınızda; sizi başka bir sayfaya yönlendiriyor ve “bu videoyu izleyebilmeniz için flash playerınızı güncellemeniz gerekiyor” şeklinde bir uyarı karşınıza çıkıyor.





Kulanıcı bu web sayfasına tıkladığında ise görünüşte yasal olan install_flashplayer11x32_mssd_aaa_aih.exe. adlı bir indirme isteği karşınıza çıkıyor.




Karşınıza çıkacak dosya aşağı yukarı 1 MB’lık bir boyuta sahip, orjinal flash player iconuna sahip bir dosyadır.Buna rağmen şüphe uyandıran noktaları da vardır. Installer yani yükleyici delphi programlama dilinde yazılmış ve orjinal flash player dijital imzasını taşımamaktadır.

Bu installer EKLENTI ve FACETTI adlarında iki ilginç kaynağa sahiptir.



EKLENTI firefox ve chrome İçin %APPDATA%\\Mozilla\\Firefox\\Profiles\\lra8qow3.de fault\\extensions\\staged\\flashplayer@[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]be.com.x yerel adresine kurulan bir eklentidir.
Saldırıya uğramış bilgisayarda sahte flash player uzantısı kendini orjinalmiş gibi göstermeye çalışır.

FACETTI %APPDATA%\\amk.dll yerel adresine düşen bir DLL dosyasıdır. Ve kendini Internet explorer uzantısı (Browser yardımcı nesnesi) olarak cmd.exe /c regsvr32 /s /u “%APPDATA%\\amk.dll” yerel adresine kaydeder.

Browser uzantısı olarak kendini kaydettiğinde başlangıç olarak "timottur.com" adresini ziyaret eder ve böylece 2 dosya indirir. Aşağıda IE için bu durumdaki ekran görüntüsü verilmiştir.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Siteler.php dosyası muhtelif arama motorlarının adreslerini içermektedir. ( yoğun olarak Google versiyonlarıdır fakat bir kaç tane farklı örneği de mevcuttur.)

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Yeni.php çeşitli fonksiyonları bulunduran bir dosyadır. Örneğin youtube.com ziyaret edildiğinde tmittir.com/yt.php adresinden saldırganların, saldırıya uğramış kişinin hesabını kullanarak youtube videolarını beğenme ve kanalları takip etmelerini sağlayan başka bir script download etmektedir.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Aşağıdaki resimde manipule edilen youtube vidyo ve kanllarının listesi görülmektedir. Bu listenin son hali değildir istenilen herhangi bir zamanda saldırganlar tarafından güncellenebilmektedir.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Bu olanlar da sadece 605 kere izlenmiş sıkıcı bir vidyonun 1730 kere beğenilmesi gibi anlamsız durumlara sebebiyet veriyor. ( insanlar bir kere bile izlemeden bu vidyoyu beğeniyorlar.) Bu vidyolardan birinin adı “internetten kola indirmek”.Aranan metin “Kola indir “ anlamına gelir. Benzer şekilde bir video kanalı 9377 görüntülemeye ve 7501 bir takipçiye sahip . Bu inanılmaz bir beğeni oranı, yani her görüntüleme kanala bir takipçi getiriyor.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Yeni.php internet anketlerinin sonuçlarını değiştiren bir parça kod da içermektedir. Aşağıdaki anket manipule edilmiştir. İçinde bazı isimler kullanılan anket bir yerel seçim anketine benziyor.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Buna ek olarak biz manupule edilmiş ask.fm profilleride bulduk. Aşağıdaki resimde şaşırtıcı b,r profil beğeni sayısı göreceksiniz. Cevaplar sekmesinde 19000 e yakın beğeni yorumu göreceksiniz.(bir gülücükten oluşan mesajlar da dahildir)

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Saldırganlar tarafından istenildiğinde kurbanın twitter hesabı üzerinden takip etme , tweet ve retweet işlemleri gerçekleştirilebiliyor.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Aynı şeyler facebookta da münkün kullanıcının facebook hesabı kullanılabiliyor.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Gönderi yapmaya ek olarak script bir facebook sayfasını beğenebiliyor yada o sayfanın fanı olabiliyor. Birkaç tane saldırganlar tarafından erişilen bilgisayarlardan takip edilmiş facebook sayfaları da mevut.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Bu sayfalardan biri “Time.traveI( Sonuncu harf L değildir. Büyük i harfi )Bu sayfada daha önce ki örneklerde gördüğümüz gibi hiç bir içeriğe sahip olmamasına rağmen çok büyük sayılarda fanı ve beğenisi bulunmaktadır.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Tweeter için aşağıdaki mesajlardan biri seçip Google’da arattık.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Aşağıdaki resimde ise seçilen mesajın Google’da aratılmasının sonuçlarında; bu mesajı içeren çeşitli Twitter hesapları göze çarpıyor.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

Bu sonuçlardan bir tanesini ziyaret ettiğimizde, ardından da gönderilerden birinin linkine tıklandığında tekrar sahte installer’ın yükleme sayfasına yönlendirilmekteyiz. Eğer bu yükleme sorgusuna evet deyip yükleyiciyi çalıştırarak yüklemeyi tamamlarsak saldırganların bir başka kurbanı olmuş oluruz.

Mesajların içeriğinden ve kodların içeriğinde incelendiğinde bu saldırganların çıkış noktası ve hedeflediği kitle Türkiye olduğu tespit edilmiştir.Ancak kolaylıkla tüm dünyada adapte edilebilecek bir yapıya sahip.
Tarayıcı uzantıları aşağıdaki linke tıklanarak güncellenebilir.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]