Popüler kod paylaşım sitesi olan GitHub’ı kullanan açık kaynak kod geliştiricileri, gelişmiş bir trojan tarafından bilgisayarlara zarar veren phishing e-postaların kendilerini hedef aldığı ortaya çıkınca alarma geçtiler.
Dimnie adı verilen bu trojan keşif ve casusluk amaçlı kullanılıyor. İstenildiğinde kimlik bilgilerinin toplama, özel dosyaları indirme, ekran görüntüsü alma, 32bit ve 64bit mimarilerde tuş vuruşlarını kaydetme, farklı zararlı yazılımları enfekte olmuş cihaza indirme ve kendini imha etme gibi emirleri yerine getirebiliyor.
Son 3 yıldır bu zararlı yazılımın etkileri, sinsiliği ve kontrol özellikleri sayesinde oldukça büyük çaplara ulaşmış durumda.
Phishing e-postalar yoluyla Github kullanıcılarını hedefleyen yazılım geçtiğimiz Ocak ayının ortalarında farkedildi. Salı günü kampanyayı bildiren siber güvenlik şirketi Palo Alto, saldırının bundan birkaç hafta önce başladığını belirtti.
Saldırı Nasıl Çalışıyor?
Saldırı GitHub kullanıcılarının gelen kutularına düşen bir sahte iş teklifi sunan e-posta ile başlıyor. Mesaj hedef alınan kullanıcının dikkatini ekteki .doc dosyasına çekmeye odaklanıyor.
Doc dosyası açıldığında PowerShell komutlarını çalıştıran ve Dimnie Trojan’i yüklemeye yarayan entegre makro kodları içeriyor. Yazılım uzaktan kontrol ediliyor ve saldırıyı yapana enfekte olmuş bilgisayara erişim ve farklı yazılımları indirme özelliği sağlıyor.
Dimnie çok da yeni bir tehdit sayılmaz. İlk olarak 2014 başlarında geliştirilen yazılım C&C yöntemleri ve gelişmiş özellikleri sayesinde günümüze kadar fark edilmeden gelebildi.
Dimnie’nin gizli özellikleri ile farkedilmeyen 3 yıl
Gizliliğini korumasının en büyük özelliklerinden birisi iletişimini sahte domainlere yapılan istekler ve DNS istekleri olarak göstermesi diyebiliriz. Dimnie iletişimini kamufle etmek için Google’a aitmiş gibi gözüken domainlere sahte HTTP Proxy istekleri göndererek sağlıyor. Ama aslında Google ile alakası olmayan saldırganın kontrol ettiği adreslerle iletişim kuruyor.
Daha fazla güvenlik için yazılım tüm iletişim paketlerini şifreliyor ve paketler hedef bilgisayara ulaştığında deşifre ediliyor. Ama asla karşı bilgisayarda hard diske yazılmıyor ya da hard disk üzerinden çalıştırılmıyor.
Bunun yerine Dimnie kendisini bellekteki çekirdek Windows işlemlerinin içerisine enjekte ediyor böylece kullanıcının diskinde herhangi bir iz bırakmadan işletim sisteminin belleği içerisinde gizlenebiliyor. Aynı zamanda bu saldırıyı yapanın okunaklı herhangi bir işleme de erişmesini sağlıyor.