Geçtiğimiz sonbahardan beri istenmeyen e-posta iletileri aracılığıyla yayılan ve bilhassa Türkiye’deki kurumları ağına düşürmeyi hedefleyen Oto Gönderici isimli tehdide dair ayrıntılı bir rapor yayınlandı.
Eğitimden sıhhate, kamudan güce tüm kesimleri tehdit eden Oto Gönderici, kullandığı Excel Formula Injection isimli alışılmadık akın tekniği sayesinde birtakım uç nokta güvenlik eserlerinin gözünden kaçabiliyor.
Bir müddettir Türkiye’deki kurumları tesiri altına alan bu tehdit, Türkçe hazırlanmış spam bildirileri aracılığıyla yayılan belge eklerinin açılmasıyla bulaşıyor.
Nadir olarak memleketler arası alanda görülen tehdidin Türkiye dışında da Türkçe lisanını kullanması ve öteki birtakım ipuçları, tehdidin Türkiye’de doğmuş olabileceğine işaret ediyor. Gönderilen iletilerin emsal sözlere sahip olması ve gönderim için seçilen adreslerin genelde [email protected] posta kutularına yönlendirilmesi, hücumların özel bir kurum yahut dal yerine genel dağıtıma odaklandığını gösteriyor.
Oto Gönderici, istenmeyen e-posta eklerinde yer alan evrakların açılmasıyla sisteme bulaşıyor. Excel Formula Injection ise, metin tabanlı CSV tabloların içine ustalıkla gömülen kodlar yardımıyla PowerShell’i etkin hale getirerek saldırganlara ilişkin internet sunucularından Truva Atı yazılımının indirilmesini ve kurulmasını sağlıyor. Microsoft Excel’in kelam konusu belgenin kod çalıştırmaya hazırlandığına dair yaptığı ihtarlara karşın kullanıcı onay verip devam eder ve atak başarılı olursa, Adwind yahut FareIt üzere Truva Atı yazılımlarının yüklenmesiyle sistemler yetkisiz erişime açık hale getiriliyor.
Oto Gönderici, öbür özelleşmiş tehditlere kıyasla daha kolay bir yapıya sahip olsa da gücünü saldırganların inatçılığından alıyor. Sophos’un yayınladığı raporda, daima gelen yeni örnekler saldırganların vazgeçmeye niyetli olmadığı, gönderimlerin ısrarla devam ettiğini, hatta bu iş için otomasyon sistemi kurulduğununun altı çiziliyor.