Tehdit aktörleri, devam eden bir kötü amaçlı yazılım kampanyasının parçası olarak sahte Google Meet web sayfalarından yararlanıyor. TıklaDüzelt Windows ve macOS sistemlerini hedef alan bilgi hırsızları sunmak.
Fransız siber güvenlik şirketi Sekoia, “Bu taktik, kullanıcıları belirli bir kötü amaçlı PowerShell kodunu kopyalayıp çalıştırmaya ve sonunda sistemlerine bulaştırmaya ikna etmek için web tarayıcılarında sahte hata mesajları görüntülemeyi içeriyor.” söz konusu The Hacker News ile paylaşılan bir raporda.
ClickFix (diğer adıyla ClearFake ve OneDrive Pastejacking) kampanyasının çeşitleri son aylarda geniş çapta rapor edildi; tehdit aktörleri, site ziyaretçilerini bir soruna yönelik olarak kodlanmış bir PowerShell kodunu çalıştırmaya teşvik ederek kullanıcıları kötü amaçlı yazılım dağıtmayı amaçlayan sahte sayfalara yönlendirmek için farklı tuzaklar kullanıyor. içeriğin web tarayıcısında görüntülenmesiyle ilgili sözde sorun.
Bu sayfaların Facebook, Google Chrome, PDFSimpli ve reCAPTCHA ve şimdi de Google Meet ve potansiyel olarak Zoom gibi popüler çevrimiçi hizmetler gibi göründüğü biliniyor.
- meet.google.us-join[.]iletişim
- meet.googie.com-join[.]biz
- meet.google.com-join[.]biz
- meet.google.web-join[.]iletişim
- meet.google.webjoining[.]iletişim
- meet.google.cdm-join[.]biz
- meet.google.us07host[.]iletişim
- güzel sürücüler[.]iletişim
- us01web-zoom[.]biz
- us002webzoom[.]biz
- web05-yakınlaştırma[.]biz
- web odası yakınlaştırma[.]biz
Windows’ta saldırı zinciri, StealC ve Rhadamanthys hırsızlarının konuşlandırılmasıyla doruğa ulaşırken, Apple macOS kullanıcılarına Atomic olarak bilinen başka bir hırsızı düşüren bubi tuzaklı bir disk görüntü dosyası (“Launcher_v1.94.dmg”) sunuluyor.
Ortaya çıkan bu sosyal mühendislik taktiği, kullanıcıların kötü amaçlı PowerShell komutunu kendileri tarafından indirilen ve yürütülen bir yük tarafından otomatik olarak çağrılmasının aksine, doğrudan terminalde manuel olarak çalıştırmasını gerektirdiğinden, güvenlik araçları tarafından tespit edilmekten akıllıca kaçınması açısından dikkate değerdir.
Sekoia, Google Meet’i taklit eden kümeyi, sırasıyla markopolo ve CryptoLove’un alt ekipleri olan Slavic Nation Empire (diğer adıyla Slavice Nation Land) ve Scamquerteo olmak üzere iki trafik grubuna bağladı.
“Her iki traför takımı da […] Sekoia, “Google Meet’i taklit eden aynı ClickFix şablonunu kullanın” dedi. “Bu keşif, bu ekiplerin altyapının yanı sıra ‘iniş projesi’ olarak da bilinen malzemeleri de paylaştığını gösteriyor.”
Bu da her iki tehdit grubunun da henüz bilinmeyen aynı siber suç hizmetini kullanıyor olması ve altyapılarını muhtemelen üçüncü bir tarafın yönetmesi olasılığını artırdı.
Gelişme, ortaya çıkmanın ortasında geliyor kötü amaçlı yazılım kampanyaları açık kaynağın dağıtımı ThunderKitty hırsızSkuld ve Kematian Stealer’ın yanı sıra yeni hırsız aileleriyle de örtüşen noktalar var. İfşa, DedSec (aka Doenerium), Ördek, VillaVe Yunit.
Siber güvenlik şirketi Hudson Rock, “Açık kaynaklı bilgi hırsızlarının yükselişi, siber tehditler dünyasında önemli bir değişimi temsil ediyor” dedi not edildi Temmuz 2024’te.
“Giriş engelini azaltarak ve hızlı inovasyonu teşvik ederek bu araçlar, yeni bir bilgisayar enfeksiyonu dalgasını tetikleyebilir, siber güvenlik profesyonelleri için zorluklar oluşturabilir ve işletmeler ve bireyler için genel riski artırabilir.”