İnternette inançlı üzere görünen her şey, sandığınız kadar temiz olmayabilir. Son vakitlerde ismi sıkça aranan bir yazılım olan “AppSuite PDF Editor”, güvenlik uzmanlarının radarına girdi. Fakat tasa, bu yazılımın kendisinden değil; onun ismini kullanan uydurma sürümlerden kaynaklanıyor.
Haziran ayının sonlarında siber güvenlik araştırmacıları, AppSuite PDF Editor ismiyle dağıtılan geçersiz yazılımların internette yayılmaya başladığını fark etti. Tıpkı anda birden fazla web sitesinin bu geçersiz programı sunduğu tespit edilirken, kullanıcıların bu sayfalara ulaşması da epeyce kolaylaştırılmış durumda. En az beş farklı Google reklam kampanyası, direkt bu düzmece sitelere yönlendirme yapacak halde kurgulanmıştı. Hülasa, bu yazılımı arama motoruna yazan rastgele bir kullanıcı, geçersiz bir indirme ilişkisine ulaşma riskiyle karşı karşıya kalabilir.
İlk bakışta her şey olağan görünüyor: Tanıdık bir suram sihirbazı, kabul edilmesi gereken lisans kontratı ve klasik kullanıcı arayüzü. Lakin bu ekranların gerisinde TamperedChef isimli karmaşık bir ziyanlı yazılım gizlenmiş durumda. Sistem içine sızan bu yazılım, sadece bilgi çalmakla kalmıyor; birebir vakitte bilgisayarı uzun vadeli olarak gözetleme ve denetim altına alma yeteneğine de sahip.
Bu makûs maksatlı yazılımın en dikkat cazip özelliği ise çabucak devreye girmemesi. Araştırmacılara nazaran, TamperedChef ortalama 56 gün boyunca hiçbir belirti vermeden sistemde kalıyor. Bu sessiz periyot, saldırganlara geniş bir kullanıcı kitlesine ulaşma bahtı tanıyor. Enteresan bir ayrıntı da şu: Uydurma yazılımın yayılmasını sağlayan reklam kampanyaları da ekseriyetle 60 gün sürüyor. Yani ziyanlı yazılımın ahenge müddeti, kampanya müddetiyle neredeyse birebir örtüşüyor.
Bu bekleme müddetinde yazılım boş durmuyor. Windows Kayıt Defteri üzerinde çeşitli değişiklikler yaparak sistemde kalıcılığını sağlıyor, zamanlanmış vazifeler oluşturarak etkinleşeceği vakti kendisi ayarlıyor. Aktivasyon gerçekleştiğinde ise harekete geçiyor: Kullanıcının tarayıcı şifrelerini, oturum bilgilerini ve hassas bilgilerini toplamaya başlıyor. Tarayıcı süreçlerini sonlandırarak ve Windows’un data müdafaa altyapısını istismar ederek bu bilgileri dışarı sızdırıyor. Üstelik antivirüs programlarını tespit ederek sistemin güvenlik açıklarını ölçüyor ve ileride öbür ziyanlı yazılımların yüklenmesi için bir art kapı bırakıyor.
Araştırmalar, maksadın sırf AppSuite PDF Editor ile hudutlu kalmadığını da gösteriyor. PDF OneStart ve PDF Editor üzere öbür tanınan PDF düzenleyici programlarının da uydurma sürümleri birebir yolla dağıtılıyor. Bu da saldırganların planının geniş çaplı olduğunu ve farklı araç isimleriyle kullanıcıları kandırmaya çalıştıklarını ortaya koyuyor.
