Siber güvenlik araştırmacıları, Mayıs 2024’te Polonya’da küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedef alan ve Agent Tesla, Formbook ve Remcos RAT gibi çeşitli kötü amaçlı yazılım ailelerinin dağıtımına yol açan yaygın kimlik avı kampanyalarını ayrıntılı olarak açıkladı.
Siber güvenlik firması ESET’e göre, saldırıların hedef aldığı diğer bölgeler arasında İtalya ve Romanya da yer alıyor.
“Saldırganlar, yalnızca kötü amaçlı e-postaları yaymak için değil, aynı zamanda kötü amaçlı yazılımları barındırmak ve çalınan verileri toplamak için de daha önce tehlikeye atılmış e-posta hesaplarını ve şirket sunucularını kullandılar,” ESET araştırmacısı Jakub Kaloč söz konusu Bugün yayınlanan bir raporda.
Dokuz dalgaya yayılan bu kampanyalar, son yükleri teslim etmek için DBatLoader (diğer adıyla ModiLoader ve NatsoLoader) adı verilen bir kötü amaçlı yazılım yükleyicisinin kullanılmasıyla dikkat çekiyor.
Slovak siber güvenlik şirketinin açıklamasına göre bu, 2023’ün ikinci yarısında gözlemlenen ve Remcos RAT’ı (diğer adıyla Rescoms) yaymak için AceCryptor adı verilen bir kriptolayıcı hizmeti (CaaS) kullanan önceki saldırılardan farklı bir durum.
“İkinci yarıda [2023]ESET, Mart 2024’te “Rescoms, AceCryptor tarafından paketlenen en yaygın kötü amaçlı yazılım ailesi haline geldi” diye belirtti. “Bu girişimlerin yarısından fazlası Polonya’da gerçekleşti, ardından Sırbistan, İspanya, Bulgaristan ve Slovakya geldi.”
Saldırıların başlangıç noktası, açıldığında trojan’ı indirip başlatmak için çok adımlı bir süreci başlatan, kötü amaçlı yazılım içeren RAR veya ISO ekleri içeren kimlik avı e-postalarıydı.
Bir ISO dosyasının eklendiği durumlarda, bu doğrudan DBatLoader’ın yürütülmesine yol açardı. Öte yandan, RAR arşivi, bir Base64 kodlu ModiLoader yürütülebilir dosyasını içeren ve bir DBatLoader olarak gizlenmiş, gizlenmiş bir Windows toplu iş betiği içeriyordu. PEM-kodlanmış sertifika iptal listesi.
Delphi tabanlı bir indirici olan DBatLoader, öncelikli olarak Microsoft OneDrive’dan veya meşru şirketlere ait tehlikeye atılmış sunuculardan bir sonraki aşamadaki kötü amaçlı yazılımları indirmek ve başlatmak için tasarlanmıştır.
Hangi kötü amaçlı yazılımın dağıtıldığına bakılmaksızın, Agent Tesla, Formbook ve Remcos RAT, hassas bilgileri çalma yetenekleriyle birlikte gelir ve tehdit aktörlerinin “bir sonraki saldırıları için zemini hazırlamasına” olanak tanır.
Gelişme, Kaspersky’nin KOBİ’lerin güçlü siber güvenlik önlemlerinin olmaması, sınırlı kaynak ve uzmanlıkları nedeniyle siber suçluların hedefi haline geldiğini açıklamasının ardından geldi.
“Truva atı saldırıları en yaygın siber tehdit olmaya devam ediyor. Bu da saldırganların KOBİ’leri hedef almaya devam ettiğini ve istenmeyen yazılımlar yerine kötü amaçlı yazılımları tercih ettiğini gösteriyor.” Rus güvenlik satıcısı söz konusu geçen ay.
“Truva atları özellikle tehlikelidir çünkü meşru yazılımları taklit ederler ve bu da onları tespit etmeyi ve engellemeyi zorlaştırır. Çok yönlülükleri ve geleneksel güvenlik önlemlerini aşma yetenekleri onları siber saldırganlar için yaygın ve etkili bir araç haline getirir.”