KOBİ’ler iş teklifi ile tuzağa düşürülüyor
Dijital güvenlik şirketi ESET, Polonya, Romanya ve İtalya’daki işletmelere karşı bilgi hırsızlarının kullanıldığı kimlik avı kampanyalarını araştırarak sonuçlarını paylaştı.
Saldırganlar daha evvel ele geçirdikleri e-posta hesaplarını ve şirket sunucularını sırf makûs niyetli e-postaları yaymak için değil birebir vakitte berbat emelli yazılımları barındırmak ve çalınan bilgileri toplamak için de kullanıyorlar.
ESET araştırmacıları, Mayıs 2024’te Polonya, Romanya ve İtalya’daki küçük ve orta ölçekli işletmeleri (KOBİ) maksat alan ve çeşitli makûs gayeli yazılım ailelerini dağıtan dokuz yaygın kimlik avı kampanyasını inceledi. Bir evvelki yıla kıyasla, bölgeyi amaç alan saldırganlar tercih ettikleri dağıtım aracı olarak AceCryptor’dan ModiLoader’a geçiş yaptı ve daha fazla makûs emelli yazılım ekledi. Saldırganlar yalnızca makus maksatlı e-postaları yaymak için değil tıpkı vakitte berbat gayeli yazılımları barındırmak ve çalınan dataları toplamak için daha evvel ele geçirilmiş e-posta hesaplarını ve şirket sunucularını kullandı. Yalnızca Mayıs 2024’te ESET eserleri, 21.000’den fazlası (yüzde 80) Polonya’da olmak üzere 26.000’den fazla kullanıcıyı bu tehdide karşı korudu.
Kimlik avı kampanyalarını tahlil eden Jakub Kaloč, “Mayıs ayı boyunca yedisi Polonya’yı gaye alan toplam dokuz kimlik avı kampanyası kaydettik” dedi. “Ele geçirilen makinelerde teslim edilen ve başlatılan sonuncu yük çeşitlilik gösterdi; bilgi çalan Formbook, uzaktan erişim truva atı ve bilgi hırsızı Agent Tesla, hassas bilgileri çalabilen uzaktan denetim ve nezaret yazılımı olan Rescoms RAT’ı teslim eden kampanyalar tespit ettik” açıklamasını yaptı.
Gelen e-postalara dikkat edin
Genel olarak tüm kampanyalar benzeri bir senaryo izliyor. Hedeflenen şirket, iş teklifi içeren bir e-posta iletisi alıyor. H2 2023 kimlik avı kampanyalarında olduğu üzere saldırganlar, kampanya muvaffakiyet oranlarını artırmak için tercih ettikleri teknik olarak mevcut şirketleri ve çalışanlarını taklit ediyorlar. Bu halde, potansiyel kurban, olağan kırmızı bayrakları arasa bile fark etmeyebiliyor zira e-posta olabildiğince legal görünüyor. Tüm kampanyalardan gelen e-postalar, potansiyel kurbanın e-posta metnine dayanarak açmaya teşvik edildiği berbat hedefli bir ek içeriyor. Evrakın kendisi ya bir ISO evrakı ya da ModiLoader (ModiLoader, makus hedefli yazılım indirmek ve başlatmak üzere kolay bir misyonu olan bir Delphi indiricisidir) çalıştırılabilir belgesini içeren bir arşiv. Kampanyalardan ikisinde ModiLoader örnekleri, bir sonraki kademe berbat maksatlı yazılımı bir Macar şirketine ilişkin güvenliği ihlal edilmiş bir sunucudan indirecek formda yapılandırılmıştı. Kampanyaların geri kalanında ModiLoader bir sonraki evreyi Microsoft’un OneDrive bulut depolama alanından indirmişti.
Kaynak: (BYZHA) Beyaz Haber Ajansı