İnternette güvenli gibi görünen her şey, sandığınız kadar masum olmayabilir. Son zamanlarda adı sıkça aranan bir yazılım olan “AppSuite PDF Editor”, güvenlik uzmanlarının radarına girdi. Ancak endişe, bu yazılımın kendisinden değil; onun adını kullanan sahte sürümlerden kaynaklanıyor.

Haziran ayının sonlarında siber güvenlik araştırmacıları, AppSuite PDF Editor ismiyle dağıtılan sahte yazılımların internette yayılmaya başladığını fark etti. Aynı anda birden fazla web sitesinin bu sahte programı sunduğu tespit edilirken, kullanıcıların bu sayfalara ulaşması da oldukça kolaylaştırılmış durumda. En az beş farklı Google reklam kampanyası, doğrudan bu sahte sitelere yönlendirme yapacak şekilde kurgulanmıştı. Kısacası, bu yazılımı arama motoruna yazan herhangi bir kullanıcı, sahte bir indirme bağlantısına ulaşma riskiyle karşı karşıya kalabilir.

İlk bakışta her şey normal görünüyor: Tanıdık bir kurulum sihirbazı, kabul edilmesi gereken lisans sözleşmesi ve klasik kullanıcı arayüzü. Fakat bu ekranların arkasında TamperedChef adlı karmaşık bir zararlı yazılım gizlenmiş durumda. Sistem içine sızan bu yazılım, yalnızca veri çalmakla kalmıyor; aynı zamanda bilgisayarı uzun vadeli olarak gözetleme ve kontrol altına alma yeteneğine de sahip.

Bu kötü amaçlı yazılımın en dikkat çekici özelliği ise hemen devreye girmemesi. Araştırmacılara göre, TamperedChef ortalama 56 gün boyunca hiçbir belirti vermeden sistemde kalıyor. Bu sessiz dönem, saldırganlara geniş bir kullanıcı kitlesine ulaşma şansı tanıyor. İlginç bir detay da şu: Sahte yazılımın yayılmasını sağlayan reklam kampanyaları da genellikle 60 gün sürüyor. Yani zararlı yazılımın uyuma süresi, kampanya süresiyle neredeyse birebir örtüşüyor.

Bu bekleme süresinde yazılım boş durmuyor. Windows Kayıt Defteri üzerinde çeşitli değişiklikler yaparak sistemde kalıcılığını sağlıyor, zamanlanmış görevler oluşturarak etkinleşeceği zamanı kendisi ayarlıyor. Aktivasyon gerçekleştiğinde ise harekete geçiyor: Kullanıcının tarayıcı şifrelerini, oturum bilgilerini ve hassas verilerini toplamaya başlıyor. Tarayıcı işlemlerini sonlandırarak ve Windows’un veri koruma altyapısını istismar ederek bu verileri dışarı sızdırıyor. Üstelik antivirüs programlarını tespit ederek sistemin güvenlik açıklarını ölçüyor ve ileride başka zararlı yazılımların yüklenmesi için bir arka kapı bırakıyor.

Araştırmalar, hedefin yalnızca AppSuite PDF Editor ile sınırlı kalmadığını da gösteriyor. PDF OneStart ve PDF Editor gibi başka popüler PDF düzenleyici programlarının da sahte sürümleri aynı yöntemle dağıtılıyor. Bu da saldırganların planının geniş çaplı olduğunu ve farklı araç isimleriyle kullanıcıları kandırmaya çalıştıklarını ortaya koyuyor.