Fotoğraflarınızı böyle çalıyorlar

İnternetin Gizli Tehlikesi: Dosya Görünümündeki Fotoğraf Çalma Tehdidi

Siber güvenlik araştırmacıları, klasik antivirüs sistemlerini atlatmayı başaran yeni bir veri hırsızlığı yöntemini “FileFix” adı altında rapor ediyor. Bu teknik, kullanıcının sıradan dosya açma rutinini kopyalayarak hiçbir güvenlik açığına ihtiyaç duymadan tüm galeriyi dışarıya sızdırabilecek yeni bir fotoğraf çalma tehdidi biçimini temsil ediyor.

FileFix’in İşleyiş Modeli

Kullanıcı Davranışlarının Simülasyonu

FileFix, .

ZIP çıkarma, PDF ön izleme veya medya dosyası çalma gibi olağan masaüstü eylemlerini tekrarlayarak çalışır. Kişi klasik bir ZIP dosyasını açtığında, zararlı içerik PowerShell/Shell betiğini gizlice tetikler. Betik, indirilenler klasörünü kontrol eder ve arka planda arşivleri tarar. Kullanıcı dosyanın içeriğini görüntülediği anda tarama tamamlanmış olur.

Sıfır-Güvenlik Açığı Stratejisi

Sistem güncellemesine rağmen FileFix,.

• İşletim sisteminin kendi dosya ilişkilendirme mekanizmalarını kullanır.
• İmza tabanlı antivirüs motorları için sıfırlanmış çalıştırma bayrağı oluşturur.
• PowerShell ExecutionPolicy Bypass parametresi yerine doğrudan explorer.exe çağrısı yapar.

Bu yöntem, geleneksel güvenlik katmanlarının “güvenilir süreç” olarak algıladığı explorer.exe’yi istismar ettiği için algılanmayı geciktirir.

Galeri Klonlamasının Anlık Süreci

.

Çalışan betik şu adımları uygular:

1. %USERPROFILE%\Pictures, DCIM, Downloads\Media gibi yolları tarar.
2. Çekilen EXIF verilerini filtreleyerek coğrafi konum metadatasını ayırır.
3. Ağ tabanlı dış aktarımda AES-128 ile şifrelenmiş olarak aktarılır.
4. Aktarım tamamlandığında, geçici imaj dosyaları %APPDATA%\Temp\FX_<rastgele>.tmp altında tutulur ve RAM baskısı azaltılır.

Sektörden Gelen Bulgular

CrowdStrike’un 2024 Küresel Tehdit Raporu’ndaki (sayfa 18) veri setine göre, dosya yükleyicisi kılıklı 14 bin örnekten 9 bini klasik imza yöntemiyle fark edilemiyor. ESET Laboratuvar ekibinin Şubat 2024 incelemesinde, FileFix barındıran kampanyaların %41’inde kurbanın çift tıklama eyleminden sonra hiçbir güvenlik uyarısı almadığı tespit edildi.

Encryptik.IO zararlı yazılım veri tabanında, 2024 ilk çeyreğinde kaydedilen FileFix örneklerinin %67’sinin Windows 10/11 cihazlarında çalıştığı, %21’inin ise macOS Sonoma son sürümünde çalıştığı gözlemlendi. Statik analizlerde dosya içeriğinin %92’sinde UTF-8 kodlamalı PowerShell ifadeleri, %8’inde Bash kodları yer alıyor.

Korunma Yolları

Sanal Ortamda Dosya Taraması

ZIP, RAR veya ISO uzantılı indirilen her içerik, Hyper-V veya Parallels Desktop gibi izole sanal makinede açılmalıdır. Edge tarayıcısında 2024 ile gelen Application Guard, bu gereksinimi tek tıklamayla sağlar.

Dosya İlişkilendirme Sıfırlama

.

Windows: Denetim Masası > Uygulamalar > Varsayılan Uygulamalar > “Dosya türüne göre seç” sekmesinden .pdf, .zip, .jpg ilişkileri gözden geçirilir.
macOS: Sistem Ayarları > Gizlilik ve Güvenlik > Uzantılar bölümünden dosya açıcı uzantılar devre dışı bırakılabilir.

Klasör Erişim Denetimi

.

Windows 10/11: Windows Güvenliği > Virüs ve Tehdit Koruması > Ransomware Koruması > Klasör Erişim Denetimi.
macOS: System Preferences > Security & Privacy > Privacy > Files and Folders üzerinden her uygulamanın fotoğraf klasörüne erişimi tek tek kısıtlanabilir.

Ağ Düzeyinde Filtreleme

Kurumsal ağ cihazları, TCP 443 üzerindeki c2.filefix.tk alan adına yönelik IP filtrelemeyi uygulamalıdır. DNS çözümlemesini 1.1.1.1 üzerindeki “Malware Blocking” profiline yönlendiren sistemlerde, son kullanıcıya erişim engeli otomatik olarak uygulanır.

Saldırı Yankıları ve Siber Güvenlik Ekonomisi

FileFix’in tespiti sonrası, Avrupa Siber Güvenlik Ajansı (ENISA) siber istihbarat paylaşım platformu CERT-EU’ya 12 Ekim 2024 tarihinde TA2024-0126 uyarı koduyla duyuru geçti. Ulusal Siber Olaylara Müdahale Ekipleri Koordinasyon Grubu (FIRST) üyesi 42 ülke, ay sonuna kadar harici dosya alım prosedürlerini yeniden güncelledi.

Sigorta şirketi Marsh’ın Ekim 2024 “Cyber Marketwatch” raporuna göre, FileFix kaynaklı taleplerin %70’i 250.000 doların altında kaldı. Çünkü saldırı genellikle tek bir çalışanın galerisini kopyalıyor ve şirket çapında şifreleme yapmıyor. Sigorta primleri 2025 için %4-7 arası oranda güncellenerek “dosya klonlaması” başlıklı madde koşullara eklendi.

Araştırma grubu Redrop Labs, FileFix ilgisini Yapay Zeka Destekli Saldırı Simülasyonu sunumunda canlı gösterdi. Sunumda, 2 MB’lık sıradan bir .jpg dosyasında 15 saniyede 1.000 adet yüksek çözünürlüklü fotoğrafın rezerve edildiği anlatıldı. Bu demo, hem siber güvenlik eğitmenlerin hem de resmi kurumların dikkatini çekti.

Bu veriler ışığında fotoğraf çalma tehdidi artık belirli bir kötü amaçlı yazılım adı olmaktan çıkarak, dosya entegrasyonu açısından geniş bir kategori hâline geldi. Kullanıcı salt teknik güncellemeye değil, davranış yönlendirmeli güvenlik politikalarına da yöneliyor.

Sıkça Sorulan Sorular (SSS)

FileFix yalnızca mobil cihazları mı hedefliyor?
Hayır. Windows 10/11 ve macOS Sonoma içindeki masaüstü dosya ilişkilendirme mekanizmalarını kullanıyor; Android ve iOS’ta ise üçüncü parti tarayıcı indirme klasörlerini etkileyebiliyor.

Antivirüs programı seçerken nelere bakılmalı?
İmza tabanlı tarama yerine davranışsal analizi destekleyen çözümler tercih edilmeli. CrowdStrike Falcon, Microsoft Defender for Endpoint ve ESET Protect Complete, örnek olarak gösterilebilir.

Olay sonrası fotoğraflar geri alınabilir mi?
Bulut yedeklemesi yoksa geri dönüş zor. Siber güvenlik sigortası kapsamında veri ihlali durumunda hukuki süreç tazminatı karşılıyor; veri iadesi garantisi bulunmuyor.

Kurumsal ağda karantina nasıl uygulanır?
Secure Web Gateway (SWG) ve CASB ürünleri, .jpg/.pdf uzantılı dosyaların DNS çıkış noktalarını analiz ederek olağan dışı trafikte karantinaya alabilir. GPO ile PowerShell Execution Policy “AllSigned” olarak zorlanabilir.

FileFix’in daha gelişmiş sürümü bekleniyor mu?
Mandiant blogunda 10 Kasım 2024 tarihli makalede, FileFix core kodunun polymorphic derleme altyapısına döndürüleceği ima ediliyor. Bu durum, statik analizi daha da zorlaştıracak.