Phorm kampanyasına truva atı

Bugün Phorm-TTNET işbirliği ile Türkiye’de başlayan DPI gözetimi konusunda sürdürülen kampanyayla ilgili çok ilginç bir olay yaşandı.

GoogleTranslate Türkçesi ile hazırlandığını tahmin ettiğimiz bir eposta aldık. Eposta aynen şöyle:

Phorm ile anlaşmazlık sizin yardımınıza ihtiyacımız var.

Sayın Ali Sevgili,

Ben internet sağlayıcısı şirket ile anlaşmazlık sizin yardımınıza ihtiyacımız var.

Onlarla bir dilekçe ve ayrıca bazı güçlü deliller var ama onları sunarken sizin yardımınıza bazılarına ihtiyaç var.

Sana yorumunuzu için sahip olduğunuz bilgi göndermek böylece beni geri dönmek.

Teşekkürler Ali
Cristina

E-postayı önce çok başarılı bir spam çalışması diye düşündüm. Çünkü epostada html içine yerleştirilmiş eposta izleme kodları vardı. Fakat emin olamayıp, kim olduğunu ve neden kendisine güvenebileceğimizi soran bir eposta yazdım:

Hi Christina,

You can write your email in English.

Please give some information who you are and why we should trust you.

Thanks..

Yanıt pek gecikmeden geldi:

Thanks for your reply.

Basically I am from UK and member of Wimborne Baptist Church. I have some good approaches and some good contacts inside Phorm and under guidance of *******. You can get more information about him on internet. He is fighting against Phorm from a long time.

Why should you trust me? For that I have no plea. I cannot answer this. All I can do is to share my work till now and my petition details and all with you in order to get something else in return which can help me against these cheaters.

Please go through the document I am sending for your reference.

Hope to get positive response.

Thanks
Cristina

*** işaretli yerde İngiltere’de Phorm kampanyasını ısrarlı şekilde yürüten aktivistlerden birinin adı var. Kendisinin onayını almadığım için şimdilik çıkardım ismini.

Özetle, İngiltereli ve bir kilise üyesi olduğunu, Phorm içerisinde bağlantıları bulunduğunu ve İngiltere’deki kampanyanın önde gelen aktivistlerinden birinin referansına sahip olduğunu bildiriyordu. Son olarak, epostanın ekinde gönderdiği belgeleri incelememizi istiyordu.

Eposta ile gelen ek “Details .docx .zip” adında bir dosya idi. Zip arşivi açtığımızda içerisinden Details.docx.exe adında bir dosya çıkıverdi. Ortada docx değil, bir exe dosyası vardı. Tabiki çalıştırmadık. İncelediğimizde ise klasik windows kötücül yazılımlarından birisi ile karşı karşıya olduğumuzu anladık.

Yazılımın tümüyle inceleyemediysek de, bilgisayarı uzaktan bağlantılara açmaya yarayan bir trojan olduğundan eminiz.

Evet, inanması çok güç olsa da gerçekten birileri Phorm kampanyası yürüten insanların bilgisayarlarına zararlı yazılımlar gönderiyor.

Kısa sürede referans gösterilen insana ulaşıp bu ilginç epostanın sahibini tanımadığını doğruladık. Üstelik öğrendik ki, benzer epostaları sadece biz almamışız. Phorm konusunda buna benzer olaylar daha önce de yaşanmış: https://nodpi.org/forum/index.php/topic,5273.0.html

Birileri Phorm duyarlılığını kullanarak bilgisayarlarımıza trojan yerleştirmeye çalışıyor. Bunun Phorm ile alakası olmayan adi bir spam ya da dolandırıcılık çetesi olduğunu ümid etmek isterdik. Çünkü bizim bu karanlık tarafta pek şansımız yok. Çünkü oraları bilmeyiz. Şeffaf, yatay örgütlenen, tümüyle açık bir topluluğuz. Yaptığımız herşeyi kamuoyunun gözü önünde yapmayı, attığımız her adım konusunda bilgi ve hesap vermeyi seviyor ve sorumluluğunu duyuyoruz.

Eposta ve ekleri adli merciiler için saklıyoruz. Makul gerekçelerle talep edenlere yazışmaları ve ekleri iletebiliriz.

  1. Her sey iyi guzel de, “Yazılımın tümüyle inceleyemediysek de, bilgisayarı uzaktan bağlantılara açmaya yarayan bir trojan olduğundan eminiz.”

    E ama calistirmamissiniz bile? Nasil eminsiniz? (antivirus programi oyle dedi gibi bir aciklamaniz varsa kalsin).

    • Çalıştırmadık -> epostanın geldiği bilgisayarda çalıştırmadık. Detaylı inceleme sonucunu da buradan yazarız.

    • bence de, denemeden mesnetsiz konusup atiyorlar. gonderdikleri details.docx.exe dosyasi kesin bir oyun olmali diye dusunuyorum.

      Ayrica bu sitede antivirus yazilimi ureten firmalarin reklamini yapmaya calisiyorlar boyle haberlerle. Arkalarinda kim oldugu anlasildi.

  2. Erdem malmısın birader? Malware analisti diye birşey hiç duymadın heralde.

Yorum Yap


Not - Bunları KullanabilirsinizHTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>