Beraberinde getirdiği gelişmiş özellikleri ve arttırılmış güvenliğiyle Windows 8 hem teknoloji sektöründe, hem de kullanıcılar arasında ilgi uyandırıyor. Gelgelelim, konu Internet güvenliği olunca yüksek popülerliğin beraberinde getirdiği tuzaklar üzerine oldukça bilgi sahibiyiz. Sanal suçluların Windows 8 rüzgarından yararlanmaya kalkışmaları an meselesi.
Windows 8 için aktifleştirme anahtarı ürettiği iddia edilerek kullanıma sunulmuş iki uygulamayı http://{SİLİNDİ}en2eqqh2.cloudfront.net adresinden indirdik ve inceledik. Bu tür anahtar üretme araçları genellikle ücretli satılan yazılımları lisanssız kullanmak için seri numarası üretmekte kullanılıyorlar. İncelememiz, elde ettiğimiz uygulamaların zararlı olduğunu gösterdi. Trend Micro olarak bu tehditleri ADW_SOLIMBA ve JOKE_ARCHSMS tanımlarıyla kütüphanemize ekledik.
ADW_SOLIMBA, çalıştırıldığı zaman sahte bir mesajla kullanıcıyı Windows 8’i indirebilmek için “OK” düğmesine basmaya yönlendiriyor. Diğer uygulama olan JOKE_ARCHSMS ise Windows 8’i aktifleyecek bir araç izlenimi yaratıyor. Tıpkı ADW_SOLIMBA gibi JOKE_ARCHSMS de kullanıcıyı yanıltacak bir dizi mesaj gösteriyor ve belli bir numaraya SMS mesajı atılarak Windows 8’in aktifleştirilebileceğini bildiriyor. Ayrıca, tıklama hırsızlığı için aşağıdaki adreslere bağlanıyor:
• http://{SİLİNDİ}rchant.net/api/open.php?aid=2102499&v
• http://{SİLİNDİ}rchant.net/50qjpr21e2bd/2102499/
Tercüme edildiğinde, ilk pencerede şunların yazdığı anlaşılıyor:
Kurulumun yapılacağı klasörü seçin:
Windows 8 Activator 2011’in kurulabilmesi için “Install” düğmesine tıklayın
İkinci penceredeyse şunlar var:
Kurulum başarıyla tamamlandı
Kişisel bir kod elde etmek için bedava aktifleştirmeyi kullanın!
(Otomatik aktifleştirmeye karşı koruma)
Ülke:
GSM operatörü:
SMS mesajı:
Yollanacağı numara:
Aktifleştirme kodunuzu giriniz:
Bu zararlı yazılımların arasındaki kişiler Windows 8’in popülerliğinden ve bu yeni işletim sistemini denemek için meraklanan kullanıcıların hevesinden yararlanmak niyetindeler. Yeni yazılımları ve uygulamaları saldırıları gizlemek için araç olarak kullanmak zaten başarısı kanıtlanmış bir sosyal mühendislik yöntemi. Facebook’un Instagram’ı satın aldığı haberi duyulur duyulmaz her yerden çıkan sahte Instagram uygulamalarını hemen hatırlarsınız. Benzer şekilde, Bad Piggies ve Angry Birds Space oyunlarının da çıkışlarıyla paralel olarak sahte, zararlı sürümleri piyasaya sürülmüştü.
Siber suçlular ve diğer her türlü Internet korsanı kullanıcıların ne istediğini çok iyi bilir ve bunu kendi yararlarına kullanır. Kullanıcıların Internetten dosya indirirken hiç bir zaman kendini bütünüyle güvene aldığını düşünmemesi gerekir. Bizim eriştiğimiz iki örnek, Internette dolaşan sahte anahtar üreticilerden sadece ikisi. Güvenliğine önem veren kullanıcıların kaynağı belirsiz dosyaları indirmemeleri gerekir. Daha iyisi, uygulamaların resmi yollardan satın alınmasıdır.
Trend Micro’nun Smart Protection Network™ ağı kullanıcılarını bu tehditlerden bahsettiğimiz kötü niyetli anahtar üreticileri belirleyip silerek korur. Ayrıca belirtilen web adresleri de engellenmektedir.
2 Kasım 2012 itibariyle güncelleme
JOKE_ARCHSMS tanımı TROJ_ARCHSMS.B olarak, ADW_SOLIMBA tanımıysa TROJ_DLOADR.AAD olarak yeniden adlandırılmıştır.