Hedefli Zararlı Yazılım Örneği: Stresspaint

Zararlı yazılımlar arasında Stuxnet’in her zaman özel bir yeri olacak. Stuxnet keşfedildiği tarihten önceki zararlı yazılımların aksine genele yaygın bir amaç için değil, çok özel bir hedef için geliştirilmişti. O tarihten itibaren, belirli aralıklarla yine özel hedefler için geliştirilmiş zararlı yazılımlar gördük. Örneğin, Stuxnet evreninden devam edecek olursak, Ukrayna’da elektrik kesintisine neden olan zararlı yazılımın elektrik şebekesini yönetmek için kullanılan sistem için özel olarak yazıldığı düşünülmektedir.

Şimdiye kadar bu denli özel bir amaca hizmet etmek için geliştirilen zararlı yazılımlar genellikle elektrik şebekesi, bankacılık sistemleri veya nükleer tesisleri hedef almıştı. Son zamanlarda bu “özelleştirilmiş zararlı yazılım” trendinin genle yayılmaya başladığını görüyoruz. Belirli bankaların müşterilerini hedef alan çeşitli Android zararlılarından sonra Facebook kullanıcı bilgilerini çalmak için geliştirilmiş bir zararlı yazılım duyuruldu.

Radware tarafından yayınlanan raporda Facebook kullanıcı bilgilerini ve ödeme bilgilerini çalan “Stresspaint” olarak adlandırılan bir zararlı yazılım ortaya çıktı.
Bir kaç gün içerisinde 40.000’den fazla Facebook kullanıcısının hesap ve oturum bilgilerini (çerez) çalan zaralı yazılımın profesyonel olarak geliştirildiğinin düşünülmesine neden olan bazı özellikleri var. Stres atmak için geliştirildiği iddia edilen bir program gibi görünen zararlı yazılımın günlük bulaşma sayıları oldukça etkileyici.
Aşağıdaki grafiklerde Nisan ayının bir kaç gününde yakalanan bulaşma sayıları ve zararlı en çok görüldüğü ülkeler görülüyor.

Zararlı yazılım Google arama sonuçlarında aol.net  gibi görünen bira alanadından yayılıyor. Gerçek alanadının  ‘xn80a2a18a.net olmasına rağmen arama sonuçlarında aşağıda görüldüğü gibi bambaşka bir alanadı varmış gibi durmaktadır. AOL, A.B.D.’nin önemli internet servis sağlayıcılarından America Online’nı çağrıştırabileceğinden kurbanların güvenmesi bir daha kolaylaşıyor olabilir.

Stres atma amacıyla indirilen program kurulduktan sonra zararlı yazılım yüklenmiş oluyor. Zararlı yazılım yüklendikten sonra ulaşabildiği Facebook kullanıcı bilgilerini (kullanıcı adı, parola ve oturum bilgileri) şifreli olarak komuta sunucusuna iletmektedir.

Kullanıcı bilgileri çalındıktan sonra bunları kullanarak Facebook hesaplarına bağlanan zararlı yazılım daha önceden programlanmış bağlantılarla (link) kurbanın Facebook hesabından bilgiler çalmaya başlıyor. Toplanan bilgiler arasında arkadaş sayısı, hesabın herhangi bir sayfayı yönetip yönetmediği ve, varsa, Facebook hesabına tanımlı kredi kartı bulunuyor.

Bu zararlı yazılımın bulaştığı sistemde gizli kalmak için kullandığı başlıca yöntemler şunlar;
  • Sadece Facebook kullanıcı bilgilerini çalıyor. Sistem genelinde kullanıcı adı ve parola aramadığı ve çalmadığı için bu sayede bazı antivirüslerin kullanıcı çalan yazılımlara karşı geliştirdikleri tedbirleri atlatabiliyor.
  • Kullanıcı adı ve parola çalma işlemi 1 dakikadan az bir sürede tamamlanıyor. Zararlı yazılım tekrar tekrar kullanıcı adı ve parola bulmak için devreye girmiyor.
Peki Facebook kullanıcı adım parolam çalınırsa ne olur? Bu bilgilerle siber suçluların yapabileceği bir kaç şey var;
  • Para kazanmak: Kullanıcı adı ve parolaları deepweb, darkweb veya sıradan forumlarda satabilirler. Facebook hesabıyla ilişkilendirilmiş bir kredi kartı varsa ondan da para çekmeye çalışabilirler.
  • Fidye talebi: Kişisel bilgilerin (örn: yazışmalar) ifşa edilmemesi için para talep edebilirler.
Bu olayda zararlı yazılımı geliştirenlerin ele geçirdikleri hesapların sayfa yönetip yönetmemesiyle ilgilenmeleri ve yine ele geçirilen hesabın arkadaş sayısını almaları önemli sayılabilecek hesapları iyi ve kötü içerikli reklam ve/veya propaganda mesajları yaymak için kullanabileceklerini de düşündürmektedir.