SSLHepimizin çok sık karşılaştığı ve hergün en az 3-5 tanesinin mailbox’larımıza düştüğü phishing maillerde saldırganların yakın zamanda yöntem değiştirdiğini gözlemliyoruz. Kullanılan önceki yöntemde kurban’ın sahte siteye bilgilerini girmesi ve bu şekilde bilgileri toplamak hedeflenirken artık daha başka yöntemler kullanılıyor. Örneğin son zamanlarda sıkça karşılaştığımız SSL sertifikasının yenilenmesi konseptine dayanan bir phishing furyası sözkonusu. Her gün en az 2 tane bu şekilde mail düşüyor bu aralar mailbox’ıma. Buraya tıklayarak gelen mail’deki link’i tıkladığınızda açılacak sitenin neye benzediğini görebilirsiniz. Gerçi resimden de görebileceğiniz gibi henüz üzerinden çok kısa bir süre geçmesine rağmen bu sitenin bir phishing sitesi olduğu Microsoft tarafından bilinmekte ve adres çubuğunda gerekli uyarı yapılmakta. burada kullanıcılara SSL sertifikalarının yenilenmesi için aşağıda yer alan link’e tıklamaları ve bu linkte yer alan programı indirerek bilgisayarlarına kurmaları gerektiği belirtiliyor.  Öncesinde sahte sitelere yönlendirerek kurban’ların banaka hesap bilgilerini alan bu kişiler artık trojan&keylogger gibi zararlı kodları kurbanlarının bilgisayarlarına yerleştirip bu şekilde kritik bilgileri almayı hedefliyorlar.

İlgili linkte yer alan dosyayı indirdim ve indirilen dosyanın antivirüsler tarafından tanınıp tanınmadığını test etmek için www.virustotal.com adresine upload ettim. Fakat birileri benden tam 4 gün önce dosyayı virustotal’e upload etmişler. İşin ilginç ve endişe verici tarafı ise birileri tarafından 4 gün önce upload edilen zararlı kod örneğini 32 antivirüs  yazılımından sadece 11 tanesi tarafından tesbit edilebilyor olması. Virustotal sonuçları için buraya tıklayabilirsiniz.

Başlığı okuyup şaşırabilirsiniz, fakat artık hatırı sayılır bir iş kolu halini almış olan zararlı kod geliştirmek ve bu kodları satmak gün geçtikçe daha da yaygınlaşıyor. İşin ilginç tarafı ise bu zararlı kodları yazanların aynen normal bir uygulama geliştirici gibi kendi kodu içerisine lisans anlaşmaları yerleştirmeleri. Evet yanlış duymadınız. Zararlı kod geliştirip bu kodları para karşılığı underground’da satan kişiler kendi kodlarının hangi şartlarda kullanılabileceğini belirtmek ve eğer bu şartlar dahilinde kullanılmazsa kodları, neler yapacaklarını bir lisans sözleşmesi üzerinden satın alan kişilere bildiriyorlar. Alın size bir örnek;  Symantec tarafından “Infostealer Banker-C” olarak adlandırılan ve Zeus olarak bilinen zararlı kodu geliştiren kişinin yazdığı lisans anlaşmasına göz atmak için buraya tıklayın.

Link’e tıkladığınızda açılan pencerede Rusça hazırlanmış bir help dosyasının içinde lisans anlaşmasını göreceksiniz. Bu metnin ingilizceye çevrilmiş halini ise buradan okuyabilirsiniz. Biraz tehditkar bir yaklaşım sergileyen lisans anlaşmasında özetle söylenen ise şu;

“Yapılan anlaşmanın ihlalinin tesbiti durumunda hiç bir şekilde teknik destek alamayacak hatta kullandığınız kodun ürettiği bot’un çalıştırılabilir binary kopyası anında antivirüs şirketlerine gönderilecektir.”