Çevrimdışı

Facebook ve Twitter Aracılığıyla Gelen Sahte Flash Player Tehlikesi

Facebook ve Twitter aracılığıyla yayılan bir tehdit tanımlandı. Tehdidin çıkış noktası bu iki platformdaki kaynağı belirsiz linklere tıklanmasıdır.



Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Sırasıyla aşağıdaki resimlerde de göreceğiniz gibi; Twitter ve Facebook’ taki yönlendirilmiş linklere tıkladığınızda; sizi başka bir sayfaya yönlendiriyor ve “bu videoyu izleyebilmeniz için flash playerınızı güncellemeniz gerekiyor” şeklinde bir uyarı karşınıza çıkıyor.





Kulanıcı bu web sayfasına tıkladığında ise görünüşte yasal olan install_flashplayer11x32_mssd_aaa_aih.exe. adlı bir indirme isteği karşınıza çıkıyor.




Karşınıza çıkacak dosya aşağı yukarı 1 MB’lık bir boyuta sahip, orjinal flash player iconuna sahip bir dosyadır.Buna rağmen şüphe uyandıran noktaları da vardır. Installer yani yükleyici delphi programlama dilinde yazılmış ve orjinal flash player dijital imzasını taşımamaktadır.

Bu installer EKLENTI ve FACETTI adlarında iki ilginç kaynağa sahiptir.



EKLENTI firefox ve chrome İçin %APPDATA%\\Mozilla\\Firefox\\Profiles\\lra8qow3.de fault\\extensions\\staged\\flashplayer@[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]be.com.x yerel adresine kurulan bir eklentidir.
Saldırıya uğramış bilgisayarda sahte flash player uzantısı kendini orjinalmiş gibi göstermeye çalışır.

FACETTI %APPDATA%\\amk.dll yerel adresine düşen bir DLL dosyasıdır. Ve kendini Internet explorer uzantısı (Browser yardımcı nesnesi) olarak cmd.exe /c regsvr32 /s /u “%APPDATA%\\amk.dll” yerel adresine kaydeder.

Browser uzantısı olarak kendini kaydettiğinde başlangıç olarak "timottur.com" adresini ziyaret eder ve böylece 2 dosya indirir. Aşağıda IE için bu durumdaki ekran görüntüsü verilmiştir.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Siteler.php dosyası muhtelif arama motorlarının adreslerini içermektedir. ( yoğun olarak Google versiyonlarıdır fakat bir kaç tane farklı örneği de mevcuttur.)


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Yeni.php çeşitli fonksiyonları bulunduran bir dosyadır. Örneğin youtube.com ziyaret edildiğinde tmittir.com/yt.php adresinden saldırganların, saldırıya uğramış kişinin hesabını kullanarak youtube videolarını beğenme ve kanalları takip etmelerini sağlayan başka bir script download etmektedir.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Aşağıdaki resimde manipule edilen youtube vidyo ve kanllarının listesi görülmektedir. Bu listenin son hali değildir istenilen herhangi bir zamanda saldırganlar tarafından güncellenebilmektedir.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Bu olanlar da sadece 605 kere izlenmiş sıkıcı bir vidyonun 1730 kere beğenilmesi gibi anlamsız durumlara sebebiyet veriyor. ( insanlar bir kere bile izlemeden bu vidyoyu beğeniyorlar.) Bu vidyolardan birinin adı “internetten kola indirmek”.Aranan metin “Kola indir “ anlamına gelir. Benzer şekilde bir video kanalı 9377 görüntülemeye ve 7501 bir takipçiye sahip . Bu inanılmaz bir beğeni oranı, yani her görüntüleme kanala bir takipçi getiriyor.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.



Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Yeni.php internet anketlerinin sonuçlarını değiştiren bir parça kod da içermektedir. Aşağıdaki anket manipule edilmiştir. İçinde bazı isimler kullanılan anket bir yerel seçim anketine benziyor.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.



Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Buna ek olarak biz manupule edilmiş ask.fm profilleride bulduk. Aşağıdaki resimde şaşırtıcı b,r profil beğeni sayısı göreceksiniz. Cevaplar sekmesinde 19000 e yakın beğeni yorumu göreceksiniz.(bir gülücükten oluşan mesajlar da dahildir)


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.



Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Saldırganlar tarafından istenildiğinde kurbanın twitter hesabı üzerinden takip etme , tweet ve retweet işlemleri gerçekleştirilebiliyor.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Aynı şeyler facebookta da münkün kullanıcının facebook hesabı kullanılabiliyor.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Gönderi yapmaya ek olarak script bir facebook sayfasını beğenebiliyor yada o sayfanın fanı olabiliyor. Birkaç tane saldırganlar tarafından erişilen bilgisayarlardan takip edilmiş facebook sayfaları da mevut.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Bu sayfalardan biri “Time.traveI( Sonuncu harf L değildir. Büyük i harfi )Bu sayfada daha önce ki örneklerde gördüğümüz gibi hiç bir içeriğe sahip olmamasına rağmen çok büyük sayılarda fanı ve beğenisi bulunmaktadır.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Tweeter için aşağıdaki mesajlardan biri seçip Google’da arattık.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Aşağıdaki resimde ise seçilen mesajın Google’da aratılmasının sonuçlarında; bu mesajı içeren çeşitli Twitter hesapları göze çarpıyor.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Bu sonuçlardan bir tanesini ziyaret ettiğimizde, ardından da gönderilerden birinin linkine tıklandığında tekrar sahte installer’ın yükleme sayfasına yönlendirilmekteyiz. Eğer bu yükleme sorgusuna evet deyip yükleyiciyi çalıştırarak yüklemeyi tamamlarsak saldırganların bir başka kurbanı olmuş oluruz.

Mesajların içeriğinden ve kodların içeriğinde incelendiğinde bu saldırganların çıkış noktası ve hedeflediği kitle Türkiye olduğu tespit edilmiştir.Ancak kolaylıkla tüm dünyada adapte edilebilecek bir yapıya sahip.
Tarayıcı uzantıları aşağıdaki linke tıklanarak güncellenebilir.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.



Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.