Dünya çapında yüzlerce şirket, aslında bilgi hırsızlığı yapan, telif hakkı ihlali iddiasıyla hedef odaklı kimlik avı e-postalarıyla hedef alındı.
Temmuz ayından itibaren Check Point Research, Amerika, Avrupa ve Güneydoğu Asya’ya yayılan ve her seferinde yeni bir alan adından gelen e-postaları izlemeye başladı. Yüzlerce müşterisinin hedef alınması, kampanyanın gerçek erişiminin çok daha büyük olabileceğini gösteriyor.
E-postaların amacı suçluluk duygusuna kapılan kurbanları indirmeye ikna etmektir. Rhadamanthysulus devlet istihbaratını veya bu durumda kripto para birimi cüzdan parolalarını çalma yeteneğine sahip gelişmiş bir bilgi hırsızı.
CopyR(ight)hadamantys
Kampanyada araştırmacıların “adını verdiği iki e-posta yok”CopyR(ight)hadamantys” aynı adresten geliyor, bu da dağıtımlarının arkasında bir çeşit otomasyon olması gerektiğini gösteriyor. Bu otomasyon bazı durumlarda garip olabiliyor (örneğin İsrailli bir hedefin neredeyse tamamen Korece bir e-posta alması gibi) ve e-postaların gerçekçi bir şekilde taklit edilme yeteneğini sınırlıyor bilinen markalar.
Her biri, belirli, bilinen şirketlerin yasal temsilcilerinden geliyormuş gibi gösteriliyor. Bu şirketlerin neredeyse yüzde 70’i ya Check Point’in kendisi gibi teknolojiden ya da medya ve eğlence endüstrilerinden geliyor.
Kimliğine bürünülmüş markaların profili, saldırganların sattığı hikayeyle düzgün bir şekilde örtüşüyor: alıcıların sosyal medyada telif hakkını ihlal eden bir tür içerik yayınladığı. Check Point tehdit istihbaratı grup yöneticisi Sergey Shykevich, “Herkesin hayatında bir dereceye kadar bunu yaptığını varsayıyorum” diyor. “Bu sadece insanların tereddüt etmesine ve şunu düşünmesine neden oluyor: ‘Ah, yanlış bir görsel mi kullandım? Bir metni mi kopyaladım? [by accident]?’ Yapmamış olsan bile.”
Alıcılardan, ayrıntıları şifre korumalı bir dosyada bulunan belirli görselleri ve videoları kaldırmaları istenir. Dosya aslında kullanıcıyı Dropbox veya Discord’dan bir arşiv indirmeye yönlendiren bir bağlantıdır. Arşiv, sahte bir belge, yasal bir yürütülebilir dosya ve Rhadamanthys hırsızını içeren kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) içeriyor.
Rhadamanthys Hakkında Bilmeniz Gerekenler
Rhadamanthys popüler ve başarılı bir bilgi hırsızıdır. Shykevich’in açıkladığı gibi, “Karanlık Web’de ticari amaçlı kötü amaçlı yazılım olarak satılan bilgi hırsızlarının en gelişmişi olduğuna şüphe yok. Diğer bilgi hırsızlarından daha pahalıdır: Çoğunlukla diğer bilgi hırsızlarını 100 ile 200 dolar arasında kiralarsınız. Rhadamanthys daha fazlasıdır, 1.000 dolar civarında. Çok daha modüler, daha karmaşık ve yapısı itibariyle daha karmaşık: Kendini yükleme ve gizleme şekli, tüm bunlar algılamayı çok daha karmaşık hale getiriyor.”
Diğer özelliklerin yanı sıra, en yeni Rhadamanthys 0.7 sürümü, biraz arkaik bir makine öğrenimi tabanlı optik karakter tanıma (OCR) bileşenine sahiptir. Pek gelişmiş bir yapay zeka (AI) değil; karışık renkli metinlerle mücadele ediyor, el yazısını okuyamıyor ve yalnızca en popüler yazı tiplerini yorumluyor. Bununla birlikte, kötü amaçlı yazılımın statik belgelerden (PDF’ler gibi) ve resimlerden veri okumasına yardımcı olur.
CopyR(ight)hadamantys’de OCR modülü, Bitcoin cüzdan koruma kodlarıyla ilişkili 2.048 kelimelik bir sözlükle birlikte gelir. Bu, saldırganların kripto para birimlerinin peşinde olduğu anlamına gelebilir; eğer bu doğruysa, aynı zamanda kampanyanın finansal motivasyonlu kampanyaların özelliği olan geniş hedeflemesiyle de uyumlu olacaktır. Son aylarda Rhadamanthys, İran gibi ulus devlet tehdit aktörleriyle de ilişkilendirildi. Geçersiz Mantikorve Filistin yanlısı grup “Handala”.
Garip Bir Gizlilik Özelliği
CopyR(ight)hadamantys’e karşı savunma yapmak isteyen kuruluşlar, kimlik avı korumasıyla başlamalıdır, ancak kampanyanın dikkate değer başka bir tuhaflığı daha var.
Kötü amaçlı DLL, yere düştükten sonra kendisinin çok daha büyük bir versiyonunu kurban bilgisayarın Belgeler klasörüne yazıyor ve bu da Firefox’un bir bileşeni gibi görünüyor. Dosyanın bu sürümü işlevsel olarak birincisine eşdeğerdir. Onu bu kadar ağır yapan şey, iki meta işleve hizmet eden işe yaramaz veriler olan “katmandır”. İlk olarak, antivirüs programlarının kötü amaçlı yazılımları tespit etmek için kullandığı yaygın bir yöntem olan dosyanın karma değerini değiştirir.
Bazı virüsten koruma programları da ekstra büyük dosyaları taramaktan kaçınır. Shykevich, “Örneğin, çok sayıda gigabayt içeren oyunlarla ilişkili dosyaları çalıştırmak istemiyorlar çünkü bu, yoğun bir yüke neden oluyor” diye açıklıyor. Bu mantıkla, normalde işe yaramayacak kadar büyük bir Rhadamanthys dosyası, tespit edilmekten kaçınma şansını artırabilir. Ancak şunu da ekliyor: “Çok yaygın değil çünkü saldırganların büyük dosyalarla uğraşması da uygun değil. Bazı e-posta çözümleriyle 20 MB’tan büyük dosyalar ekleyemezsiniz, dolayısıyla kurbanı bazı harici kaynaklara göndermeniz gerekir.” Yani bu bir taktik ama her zaman işe yarayan çılgın bir taktik değil.”
Kuruluşlar, çalışanların e-postalardan indirdiği özellikle büyük dosyaları tespit etmek isteyebilir. “Bu kolay değil çünkü bazı yasal dosyaların büyük olmasının birçok nedeni var” diyor. “Ama bazı şeyleri uygulamanın mümkün olduğunu düşünüyorum [effective] indirebileceklerinize ilişkin kurallar.”