18 Nisan vergi son tarihi yaklaşırken bilgisayar korsanları, Remcos uzaktan erişim Truva Atı’nı (RAT) dağıtmak için tasarlanmış bir kimlik avı kampanyasıyla muhasebecilerin stresini artırıyor.
13 Nisan’da yayınlanan bir blog gönderisinde, Microsoft’tan araştırmacılar, saldırganların CPA’ların, muhasebe firmalarının ve vergi bilgilerini işleyen ilgili şirketlerin müşterileri kılığına girdiği bir kampanyayı anlattı. Görünen amaç, müşterilerinin Sosyal Güvenlik numaraları, adresleri ve gelirleri gibi en hassas kişisel bilgilerini içeren kayıtları tutan bu finansal emanetçilerin, Windows ayrıcalığının kolayca yürütülmesini sağlayan Remcos RAT’ı indirmelerini sağlamaktır.
Kampanyayı orta ölçekli ama odaklanmış olarak nitelendiren Microsoft’un tehdit istihbaratı stratejisi direktörü Sherrod DeGrippo, “Muhasebe ve finans alanındakiler şu anda çok dikkatli olmalı” diyor. “İşlerinde hataların yapılabileceği yoğun bir dönem.”
Remcos, Almanya merkezli Breaking Security’nin ticari bir programıdır. “Uzaktan Kontrol ve Gözetleme”nin kısaltması olan bu sistem, kullanıcıların uzak Windows bilgisayarlarda yönetici ayrıcalıkları kazanmasını sağlar. Örneğin, bilgisayar korsanları, bir CPA’nın dizüstü bilgisayarında, CPA’nın kendisinin sahip olduğu ayrıcalıklarla aynı tür ayrıcalıkları elde etmek için kullanabilir.
Breaking Security geçmişte onu yalnızca meşru kullanımlar için sattıklarını iddia etse de, Remcos ve kardeş ürünleri – bir keylogger, kaçırma aracı, spam dağıtım aracı ve daha fazlası dahil — 2010’ların ortalarından beri siber suç çevrelerinde dolaşıyor.
Kimlik Avı Muhasebecileri
Kampanya, bir örneği aşağıda görülebilecek, özenle hazırlanmış bir kimlik avı e-postası ile başlar.
Oyundaki ince sosyal mühendisliğe dikkat edin, örneğin, “Daha erken yanıt vermediğim için özür dilerim” ve hatta e-postanın başlığı – “Re: 2022” — mevcut bir müşteri ile devam eden bir yazışmayı ima eder. “Gizli” kelimesi ve şifre korumalı bir bağlantı, tüm meseleye bir güvenlik havası katıyor. DeGrippo, “gündelik tonu ve uzun ayrıntıları ve talimatları nedeniyle, yem bu şekillerde inandırıcı olacak şekilde özel olarak tasarlandı” diyor.
E-postadaki bağlantı, birden çok meşru hizmet aracılığıyla yeniden yönlendirir: önce bir Amazon Web Hizmetleri tıklama izleme hizmeti, ardından sıradan bir dosya barındırma sitesi, boşluklar[.]fırlamak[.]com. Bunların her ikisi de, olası kötü amaçlı yazılım önleme algılamasını ortadan kaldırarak, kaçınma katmanları olarak işlev görür.
Dosya barındırma sitesinde, Web isteklerini doğrudan tehdit aktörüne gönderen kısayol .LNK dosyalarını içeren bir .ZIP dosyası bulunur ve “DLL’leri veya yürütülebilir dosyaları içeren MSI dosyaları, aşağıdakileri içeren VBScript dosyaları gibi” herhangi bir sayıda kötü amaçlı dosyanın indirilmesini tetikler. PowerShell komutları veya aldatıcı PDF’ler,” Microsoft açıkladı. Blog, bazı durumlarda, ödüllü ürünleri indirmek için bilgi hırsızı indiricisi GuLoader’ın kullanıldığını belirtti: Remcos RAT.
Nisan Ayında Muhasebecileri Hacklemek: Akıllı Siber Suç Hareketi
Bu kampanyanın şu anda yapılıyor olması ve daha Şubat ayında başlaması elbette tesadüf değil.
DeGrippo, “Finansal hizmet firmaları yılın en çok talep gören zamanlarında” diyor. “Bu hafta vergilerimi yeni verdim ve EBM’m açıkça uzun saatler çalışıyor ve e-postalara gece geç saatlerde yanıt veriyordu. Bu tür firmalarda durum böyle olduğunda, çalışanlar bir şeyi gözden kaçırabilir veya kaçırmaması gereken şeylere tıklayabilir.”
Ve bir EBM hata yaptığında, hemen hemen her tür profesyonelden daha kötüdür.
DeGrippo, “Bu tür hedefler, en hassas türden finansal bilgileri ele aldıkları için çekicidir,” diye devam ediyor. “Vergiler, Sosyal Güvenlik numarası bilgileri, defter tutma ve banka hesabı ve yönlendirme numaraları, doğrudan tehdit aktörleri için yararlıdır veya karaborsada daha sonraki saldırılarda kullanılmak üzere diğer suçlulara satılabilir.”
Microsoft, yılın bu zamanında muhasebecilerin sürekli e-postalarına, çılgın dosyalamalarına ve geç saatlere kadar eşlik edebilecek siber hijyen eksikliğini telafi etmeye yardımcı olmak için profesyonellerin ve firmaların JavaScript ve VBScript’in yürütülebilir içeriği başlatmasını ve güvenilmeyen yürütülebilir dosyaların çalışmasını engellemesini önerdi. Blog yazısı ayrıca antivirüs taramasının ve gerçek zamanlı davranış izlemenin faydasını vurguladı.
DeGrippo, “Bu tür hassas belgeleri göndermek için en iyi uygulama, firmaların müşterilerin belgelerini yükleyebilecekleri güvenilir bir bulut hizmetine sahip olmalarıdır.
“Hassas materyallerle ilgili e-posta göndermek asla iyi bir fikir değildir,” diye bitiriyor sözlerini. “Özellikle karışımda kötü amaçlı yazılım olabileceği zaman.”