Rovnix bootkit, 2013’te kaynak kodu sızdırılana kadar son derece popüler bir zararlı yazılımdı. Bu olaydan sonra kaynak kod tüm güvenlik markaları ve ilgili kurumlar tarafından incelendi. Ancak, Nisan 2020’de Kaspersky’nin tehdit takip sistemleri bu ünlü bootkit’i içeren zararlı dosyalar tespit etti. Dosyalar “Dünya Bankası’nın koronavirüs salgınıyla ilgili yeni girişimi” başlığıyla Rusça olarak dağıtıldı.
Yenilenen bootkit’te kullanıcı hesabı denetimini (UAC) aşma mekanizması, cihazdaki yetkileri artırma yeteneği ve genellikle bu bootkit ile ilişkisi olmayan yeni bir yükleyici gibi bir dizi gelişme tespit edildi. Tespit edilen dosyalar analiz edildiğinde, yüklenen zararlı parçanın aslen Truva atı ve casus yazılım özelliklerine sahip bir arka kapı olduğu anlaşıldı. Bu program cihaza yüklendiğinde saldırganlar cihaza erişerek çeşitli bilgiler toplayabiliyor.
Bootkit, “on the new initiative of the World Bank in connection with the coronavirus pandemic.exe” adlı dosyayla yayılıyor. Kendi kendine genişleyen bu dosya bir belgeyi ve zararlı dosyanın kendisini içeriyor. Saldırıyı daha ikna edici kılmak için belgede Dünya Bankası’nın yeni bir girişimiyle ilgili bilgiler, kurumdan gerçek kişiler tarafından yazılmış gibi sunuluyor. Ancak, dosya açıldığında bootkit yüklenerek cihazı etkilemeye başlıyor.
Kaspersky Güvenlik Analisti Alexander Eremin, “Bu örnek iki şey gösterdi. Öncelikle eski bir tehdidin geri dönmeyeceğinden asla emin olamayacağımızı gördük. İkincisi ise siber suçluların ne kadar hızlı uyum sağladıklarına şahit olduk. Bu kişiler kullandıkları araçlarda çok daha esnek olabiliyor ve gündemdeki konulara yakın ilgi gösteriyor. Yaptığımız analizler, kaynak kodu paylaşılan bir tehdidin, Rovnix’te olduğu gibi sürprizler yapabileceğini gösterdi. Koruma yöntemlerinden kaçınmak için kendi araçlarını geliştirmekten kurtulan siber suçlular, zararlı yazılımın becerilerine daha fazla özen göstererek kaynak koda ekstra özellikler ekleyebiliyor.” dedi.