Geçen hafta, VLC’nin bazı kötü amaçlı yazılımları enjekte etmek için bilgisayar korsanları tarafından kötüye kullanıldığına dair haberler dolaşmaya başladı. Sorun, Symantec’in Güvenlik Tehdit İstihbaratı blogunda bir rapor yayınlamasının ardından ortaya çıktı.
Norton Antivirus’ü yapan Broadcom’a ait şirket, Çin hükümetine bağlı olduğunu iddia ettiği bir grup hacker’ın dünya çapındaki kuruluşları hedef alan siber casusluk kampanyaları yürüttüğünü ortaya çıkardı.
Symantec, kampanyanın öncelikle eğitim ve din, telekom, hukuk ve ilaç sektörlerindeki hükümetle ilgili kurumlardaki veya STK’lardaki mağdurları hedef aldığını söylüyor. Cicada veya APT10 adlı kötü amaçlı yazılım saldırısı kampanyası ilk olarak geçen yıl izlendi. Şubat 2022’de aktifti ve hala devam ediyor olabilir. Saldırganlar, makinelerine erişmek için yama uygulanmamış sistem dağıtımlarında Microsoft Exchange Sunucuları aracılığıyla kurbanları hedefliyor. Bilgisayar korsanları, özel bir yükleyiciye ve Sodamaster adlı bir arka kapıya ek olarak çeşitli araçlar kullanıyor.
Bilgisayar korsanları, özel bir kötü amaçlı yazılım yükleyiciyi tetiklemek için kullanmak üzere değiştirilmiş bir VLC sürümü dağıttı
Bu araçlardan biri, popüler açık kaynaklı medya oynatıcı VLC’nin değiştirilmiş bir versiyonudur. Symantec’in Güvenlik Tehdit İstihbaratı blogu aşağıdaki ifadeden bahseder.
“Saldırganlar ayrıca VLC Dışa Aktarma işlevi aracılığıyla özel bir yükleyici başlatarak meşru VLC Media Player’dan yararlanıyor ve kurban makinelerin uzaktan kontrolü için WinVNC aracını kullanıyor.”
Bu ifadenin oldukça kafa karıştırıcı ve VLC’nin savunmasız olduğunu ve bilgisayar korsanlarının kötü amaçlı yazılım saldırıları başlatmak için kullandığını yazan bazı bloglar tarafından yanlış yorumlandı. Bu doğru değil, bu web sitelerinin iddia ettiği gibi kötü amaçlı yazılım saldırılarının nedeni VLC değil. Raporun geri kalanı bağlam içinde ele alınmalıdır.
Raporun ikinci bölümü (resimde vurgulanmıştır), saldırganların kötü amaçlı yazılım saldırısını başlatmadan önce kurban makinelere erişmesi gerektiğinden bahseder. Bu, Symantec’in Tehdit Avcısı Ekibinin bir üyesi tarafından Bleeping Computer’a yapılan açıklamada doğrulandı. Bazı bilgisayar korsanlarının VLC’nin temiz sürümünü aldığını, ona kötü amaçlı bir DLL dosyası eklediğini ve onu, yani DLL yandan yükleme olarak dağıttığını söylediler. Bu dosya, dışa aktarma işlevinin yolu ile aynı klasörde bulunur ve saldırganlar tarafından özel bir kötü amaçlı yazılım yükleyici başlatmak için kullanılır.
Dolayısıyla, bu saldırının gerçekleşmesi için en az iki farklı gereksinim olduğu açıktır: güvenliği ihlal edilmiş bir sistem ve değiştirilmiş bir VLC sürümü (kullanılan diğer araçlar arasında).
VLC’yi kullanmak güvenli midir?
Evet öyle. VLC’yi resmi web sitesinden (veya güvenilir bir siteden) indirdiğiniz sürece, bilgisayarınız kötü amaçlı yazılımlardan korunmalıdır, çünkü bu saldırılarda kullanılan kötü amaçlı DLL Dosyasını içermez.
Üçüncü taraf bir siteden bir program indirdiğinizde ve bu web sitesi gizlice bazı dosyaları pakete yerleştirdiğinde, bu artık geliştiricinin resmi bir sürümü değildir. Potansiyel olarak kötü amaçlı olabilecek değiştirilmiş bir sürüm haline gelir. Bu tür dosyalar dolaşıma girdiğinde, onları kullanan kişiler saldırı riski altındadır. Bilgisayar korsanları, kötü amaçlı reklamcılık gibi çeşitli hileler kullanır, ör. insanları orijinal dosyayı indirdiklerini düşünmeye ikna etmek için popüler bir programın simgesini kullanın, aslında sistemlerine bulaşabilecek ve hatta diğer kullanıcılara yayılabilecek bir kötü amaçlı yazılım indiriyorlar.
Sahip olduğunuz bir programın kurcalanmış olabileceğinden endişeleniyorsanız, kurulumun güvenli olduğunu doğrulamak için yükleyiciyi VirusTotal gibi bir çevrimiçi hizmete yüklemek isteyebilirsiniz. Başka bir seçenek de sağlama toplamının resmi yayındakiyle eşleşip eşleşmediğini görmek için karma değerlerin doğrulanmasıdır. Örneğin. VLC, hash değerlerini arşiv sitesinde listeler. İşletim sisteminizi ve virüsten koruma yazılımınızı güncel tutun ve kötü amaçlı yazılım saldırıları olasılığını en aza indirmek için uBlock Origin gibi bir reklam engelleyici kullanın.
