Dikkat! Apple Mac OS İçin İlk Word Makro Zararlı Yazılım Keşfedildi
28.02.2017
Windows tabanlı bilgisayarları son birkaç yıldır hedefledikten sonra bilgisayar korsanları artık ilgi alanlarını Mac'lere de kaydırıyor.
Apple'ın macOS platformuna karşı ilk makro tabanlı Word belgesi saldırısının ortaya çıkışı bunu kanıtlar nitelikte.
Makrolar kavramı 1990'lara kadar uzanır. "Uyarı: Bu belge makrolar içeriyor." mesajını hatırlarsınız.
Makro, bazı görevleri otomatikleştirmeye yardımcı olan bir dizi komut ve işlem içerir. Microsoft Office programları, Visual Basic for Applications (VBA) ile yazılmış makroları destekler, ancak kötü amaçlı yazılım yüklemek gibi faaliyetler için de kullanılabilir durumda.
Şimdiye kadar bilgisayar korsanları bu tekniği kullanarak Windows'u hedef alıyorlardı.
Ancak güvenlik araştırmacıları, bilgisayar korsanlarına Word belgelerinde kötü amaçlı yazılım yüklemek ve verilerinizi çalmak için imkân tanıyan ve eski bir Windows tekniği olan kötü niyetli makrolar kullanmanın Mac bilgisayarlar için de yaygınlaşmaya başladığını keşfetti.
Bu saldırı tekniği, kurbanlarını kötü amaçlı makrolar çalıştıran virüslü Word belgelerini açılmaları konusunda kandırmaya çalışır. Araştırmacı tarafından keşfedilen bu türden kötü amaçlı bir Word dosyası " U.S. Allies and Rivals Digest Trump's Victory – Carnegie Endowment for International Peace.docm" ismini taşıyordu.
Bununla birlikte, kötü amaçlı Word belgesini tıkladığınızda, sisteminizde çalıştırmadan önce, Mac kullanıcılarından daima makroları etkinleştirmeleri istenir.
İzin vermemek sizi kurtarabilir ancak uyarıları yok saymayı etkinleştirirseniz Python'da kodlanmış gömülü makro, Mac bilgisayarlara bulaşmak için kötü amaçlı yazılım indiren, bilgisayar korsanlarına web kamerasını izlemek, tarayıcı geçmiş günlüklerine erişmek, parolalarınızı ve şifreleme anahtarlarınızı çalmaya olanak veren bir işlevi çalıştırır.
Güvenlik firması Synack'in araştırma direktörü Patrick Wardle tarafından yayınlanan bir blog yazısına göre Python işlevi, açık kaynaklı bir Mac ve Linux sömürücü aracı olan EmPyre ile hemen hemen aynı.
Wardle, "Düşük teknolojili bir çözüm, ancak bir yandan meşru işlevselliği kötüye kullanıyor; bu nedenle bellek bozulması veya taşma olasılığı gibi bilgisayarı çökerteceği söylenemez ama doğası gereği yama da yayınlanamayacak" dedi.
Wardle, kötü amaçlı Word belgelerinin Rusya'ya yayıldığı IP adresini izlediğinde aynı IP’nin daha önce kimlik avı saldırıları gibi kötü amaçlı etkinliklerde de kullanıldığını ortaya çıkarttı.
Bu tür saldırıları önlemenin en iyi yolu ise, şüpheli bir Word belgesi açarken makroların çalıştırılmasına izin vermek.