Antivirüs programları her gün yeni bir tehditle karşı karşıya kalıyor. Bu yeni virüs tehdidi ise milyonlarca Microsoft Excel kullanıcısını tehdit ediyor. Buna göre söz konusu Excel virüsü tehdidi Rus Hacker grubu FIN7 kontrolünde bulunan bir uzaktan kontrol edilen Truva atı (RAT) şeklinde karşımıza çıktı.
Rusya güdümlü hacker saldırıları özellikle Rusya’nın Ukrayna işgali sonrası artmaya başladı. Ukrayna’yı hedef alan bu saldırılar, ambargolar sonrası batı dünyasına da yöneldi.
Rusya menşeli Microsoft Excel virüsü, tabloları nasıl kullanıyor?
Morphisec Labs adlı siber güvenlik kurumundan araştırmacılar, FIN7’nin e-posta yoluyla gönderdiği XLM ve XLL dosyalarına gizlenen ve uzaktan kontrol edilen truva atı virüsü dağıttığını tespit etti.
FIN7, bu özel RAT yani truva atını 2020 yılından beri kullanıyor. Ancak ilk defa Microsoft Excel dosyaları ve tabloları içine sızan bir virüs tehdidi ortaya çıktı. İşin kötü tarafı ise antivürüs programlarının bu truva atını çoğunlukla gözden kaçırıyor olması.
Araştırmacılar, kurbanın dosyayı indirip açması durumunda truva atının aktif hale geldiğini aktarıyor. Buna göre xlAutoOpen işlevini kullanan virüs, kendini kendini belleğe yüklüyor ve ikinci aşamaya geçiyor. İkinci aşamada ise truva atı virüsünü kontrol eden gruplar bu sayede bilgisayarınıza kötü amaçlı yazılımlar indiriyor.
Bu yeni truva atı aslında iki senedir var olmasına karşın yeni bir JSSLoader varyantı ile karşımızda. Bu yeni sürümün en büyük farkı ise antivürüs programlarından kaçmak için tüm işlevleri ve değişkenleri yeniden adlandırabilme özelliğine sahip olması. Bu sayede truva atı bilgisayara yüklendikten sonra bile tespit edilemeyebiliyor.
FIN7, Excel kullanıcılarını hedef alan bu yeni truva atı virüsü sayesinde çok daha tehlikeli hale gelebilir. Buna göre Morpisec Lab araştırmacıları FIN7’nin bu truva atı sayesinde tespit edilmeden günlerce hatta aylarca güvenliğini aştığı ağlarda sessizce gezinebileceği düşüncesinde.
Şu an için bu truva atı virüs tehdidi için çözüm bulunmaya çalışılıyor. Ancak o zamana kadar kullanıcılardan güvenmedikleri mailleri ve eklerini açmamaları öneriliyor.
Microsoft Excel tablolarına bile sızan truva atı virüsü için neler düşünüyorsunuz? Görüşlerinizi yorum kısmında veya SDN Forum’da paylaşabilirsiniz.