Siber Suçlular, Sahte Facebook Paylaşımlarıyla SVG Görsellerinde Gizlenen Zararlı Yazılımlar Yaymaya Başladı

Son dönemde internet güvenliği uzmanlarının dikkatini çeken yeni bir siber saldırı yöntemi, özellikle sosyal medya kullanıcılarını hedef alıyor. SVG (Scalable Vector Graphics) formatındaki görsellere gizlenen zararlı yazılımlar, sahte Facebook gönderileri aracılığıyla yayılıyor. Bu yöntem, artan yaş doğrulama zorunlulukları ve kullanıcıların alternatif sitelere yönelmesiyle daha da yaygınlaşmış durumda.

Yaş Doğrulama Zorunluluğu Siber Tehditleri Artırıyor

Birçok ülke, yetişkin içerikli sitelere erişim için yaş doğrulama sistemlerini zorunlu hale getirdi. Bu durum, bazı kullanıcıları daha küçük, denetimsiz ve güvenlik önlemleri zayıf web sitelerine yöneltiyor. Siber suçlular ise bu fırsatı değerlendirerek, söz konusu siteler üzerinden zararlı yazılımlar yaymak için yeni yöntemler geliştiriyor.

SVG Dosyalarının Tehlikeli Yüzü

JPG veya PNG gibi standart resim formatlarının aksine, SVG dosyaları XML tabanlıdır. Bu yapı, görselin yanı sıra HTML ve JavaScript kodlarını da barındırmasına olanak tanır. Yani bir SVG dosyası, sadece bir resim değil, aynı zamanda web sayfalarında kullanılan dinamik kodları da içerebilir. İşte bu özellik, kötü niyetli kişilerin SVG dosyalarını zararlı yazılımlar için bir taşıyıcıya dönüştürmesine imkan veriyor.

Saldırının İşleyişi

1. Sahte İçerik Paylaşımı
   Saldırganlar, genellikle yetişkin temalı, sahte veya yapay zekâ ile üretilmiş ünlü görsellerini içeren blog yazılarını Facebook’ta paylaşıyor.

2. Kullanıcıyı İndirmeye Zorlama
   Kullanıcı bu gönderilere tıkladığında, karşısına bir SVG dosyası indirme yönlendirmesi çıkıyor.

3. Gizlenmiş JavaScript Kodu
   SVG dosyasının içine gizlenmiş JavaScript kodu, özel bir teknikle şifrelenmiş oluyor. Bu yöntem, kodun gerçek amacını gizleyerek güvenlik yazılımlarının tespitini zorlaştırıyor.

4. Arka Planda Zararlı Yazılım İndirme
   Dosya açıldığında, gizlenmiş script çalışarak internet üzerinden ek zararlı kodlar indiriyor.

5. Facebook Hesabına Sızma
   İndirilen zararlı yazılım, Trojan.JS.Likejack adı verilen bir truva atı. Bu yazılım, kullanıcının Facebook hesabına erişerek fark ettirmeden belirli gönderi ve sayfaları “Beğen” komutu veriyor. Böylece dolandırıcılar, içeriklerini organikmiş gibi görünerek Facebook algoritmasında üst sıralara çıkarıyor.

Organize Bir Yapı

Malwarebytes araştırmacılarının tespitine göre, bu saldırılarda kullanılan pek çok web sitesi WordPress altyapısı ile hazırlanmış ve birbirine bağlı. Saldırganlar, yüzlerce sahte “Beğeni” üreterek Facebook’ta daha fazla görünürlük elde ediyor. Bu sayede reklam ücreti ödemeden erişimlerini artırıyorlar.

Facebook’un Mücadelesi

Facebook, sahte profilleri tespit edip kapatma konusunda aktif çalışmalar yürütüyor. Ancak saldırganlar sürekli yeni hesaplar oluşturarak bu önlemleri aşmayı başarıyor. İnternetin anonim yapısı da bu döngüyü kırmayı zorlaştırıyor.

SVG ile Zararlı Yazılım Yayma Yönteminin Geçmişi

SVG dosyalarının zararlı amaçlarla kullanılması yeni bir olay değil. Daha önce kimlik avı (phishing), script tabanlı saldırılar ve benzeri hack yöntemlerinde de SVG dosyaları kullanılmıştı. Ancak bu son kampanya, hem zararlı kodun ustaca gizlenmesi hem de sosyal medya algoritmalarını manipüle etme stratejisiyle dikkat çekiyor.

Kendinizi Nasıl Koruyabilirsiniz?

• Bilinmeyen kaynaklardan dosya indirmeyin.

• SVG dosyalarının sadece resim olmadığını unutmayın.

• Güncel bir antivirüs programı kullanın.

• Facebook ve diğer sosyal medya hesaplarınızı iki faktörlü doğrulama ile koruyun.

• Gelen bağlantıların güvenilirliğini kontrol edin.