Microsoft, kötü amaçlı yazılımları dağıtmak ve kimlik bilgilerini çalmak için vergi ile ilgili temalardan yararlanan çeşitli kimlik avı kampanyalarını uyarıyor.
Microsoft, “Bu kampanyalar, kötü niyetli eklerde yer alan URL kısaltmalar ve QR kodları gibi yeniden yönlendirme yöntemlerini ve algılamayı önlemek için dosya barındırma hizmetleri ve iş profili sayfaları gibi meşru hizmetleri kötüye kullanıyor.” söz konusu Hacker News ile paylaşılan bir raporda.
Bu kampanyaların dikkate değer bir yönü, bir Hizmet Olarak Kimlik Yardımı (PHAAS) Platformu aracılığıyla teslim edilen kimlik avı sayfalarına yol açmalarıdır. Raccoono365Aralık 2024’ün başlarında ilk ortaya çıkan bir e-suç platformu.
Ayrıca Remcos Rat gibi uzaktan erişim Truva atları (sıçanlar), ayrıca Latrodectus, Ahkbot, Guloader ve Bruteratel C4 (BRC4) gibi diğer kötü amaçlı yazılım ve sömürü sonrası çerçeveler de sunulur.
6 Şubat 2025’te teknoloji devi tarafından tespit edilen böyle bir kampanyanın, BRC4 ve Latrodectus’u teslim etmeye çalışan vergi dosyalama sezonundan önce ABD’yi hedefleyen yüzlerce e -posta gönderdiği tahmin ediliyor. Etkinlik, daha önce Bazaloader, Icedid, Bumblebee ve Emotet’i dağıttığı bilinen bir başlangıç erişim komisyoncusu olan Storm-0249’a bağlandı.
Saldırılar, kullanıcıları yeniden markalı olarak kısaltılmış bir URL’ye yönlendiren bir bağlantı içeren PDF eklerinin kullanımını içerir ve sonuçta bunları belgeyi görüntüleme veya indirme seçeneği ile sahte bir Docusign sayfasına götürür.
Microsoft, “Kullanıcılar açılış sayfasındaki indirme düğmesini tıkladığında, sonuç, sistem ve IP adreslerinin tehdit oyuncusu tarafından kurulan filtreleme kurallarına dayanarak bir sonraki aşamaya erişmesine izin verip vermediğine bağlıydı.” Dedi.
Erişime izin verilirse, kullanıcıya daha sonra Latrodectus’u dağıtmak için bir kanal görevi gören BRC4 için bir Microsoft Yazılım Yükleyicisi (MSI) indiren bir JavaScript dosyası gönderilir. Mağdur yeterince değerli bir hedef olarak kabul edilmezse, onlara royalegroupnyc’den iyi huylu bir PDF belgesi gönderilir[.]com.
Microsoft, vergi temalı kimlik avı e-postalarının ABD’deki 2.300’den fazla kuruluşa, özellikle mühendislik, BT ve danışmanlık sektörlerine yönelik 2.300’den fazla kuruluşa gönderildiği ikinci bir kampanya tespit ettiğini söyledi.
Bu durumda e -postaların mesaj gövdesinde içeriği yoktu, ancak Microsoft 365 oturum açma sayfalarını kullanıcıları kimlik bilgilerini girmek için kandırmak için taklit eden Raccoono365 PHAA’larla ilişkili bir bağlantıya işaret eden bir QR kodu içeren bir PDF eki içeriyordu.
Bu kampanyaların çeşitli şekillerde geldiğine dair bir işarette, vergi temalı kimlik avı e-postaları Ahkbot ve Guloader gibi diğer kötü amaçlı yazılım ailelerini yaymak olarak da işaretlendi.
Ahkbot enfeksiyon zincirleri, kullanıcıları, makroları açıp etkinleştirdikten sonra, bir Autohotkey komut dosyası başlatmak için bir MSI dosyasını indirip çalıştıran ve daha sonra bir ekran görüntüsünü indirmek için bir ekran görüntüsünü indirmek için bir ekran görüntüsünü indirmek ve uzak bir sunucuya eklemek için bir ekran görüntüsü indirmek ve çalıştıran sitelere yönlendirdiği bulunmuştur.
Guloader kampanyası, kullanıcıları bir PDF e -posta eki içinde mevcut bir URL’ye tıklamaya kandırmayı amaçlamaktadır ve bu da bir zip dosyasının indirilmesine neden olur.
Microsoft, “Zip dosyası, vergi belgelerini taklit etmek için ayarlanmış çeşitli .lnk dosyaları içeriyordu. Kullanıcı tarafından başlatılırsa, .lnk dosyası bir PDF ve .bat dosyasını indirmek için PowerShell kullanıyor.” Dedi. “
Geliştirme, Microsoft’un Bruteratel Red-Teaming Aracı aracılığıyla Latrodectus Loader kötü amaçlı yazılımının güncellenmiş bir sürümünü sunmak için kullanıcıları sahte web sitelerine yönlendiren başka bir Storm-0249 kampanyası uyarmasından haftalar sonra geliyor.
“Tehdit oyuncusu, Facebook’un birden fazla durumda URL’lerini gözlemlediğimiz için sahte Windows 11 Pro indirme sayfalarına trafik çekmek için Facebook’u kullandı.” Microsoft söz konusu X’teki bir dizi gönderide.
“İlk olarak Şubat 2025’te gözlemlenen kötü amaçlı yazılımların en son evrimi olan Latrodectus 1.9, kalıcılık için planlanan görevi yeniden tanıttı ve 23 komutunu ekleyerek ‘cmd.exe /c.’
Açıklama ayrıca, Avrupa ve ABD’ye yönelik yaygın saldırıların bir parçası olarak kötü niyetli URL’leri gizlemek için kimlik avı belgelerinde QR kodlarını kullanan kampanyalarda bir artış izlemektedir.
Palo Alto Networks Birimi 42, “Bu kampanyalardaki QR kodlarından çıkarılan URL’lerin analizi, saldırganların genellikle doğrudan kimlik avı alanına işaret eden URL’leri dahil ettiklerini ortaya koyuyor.” söz konusu bir raporda. “Bunun yerine, genellikle URL yönlendirme mekanizmalarını kullanırlar veya istismarlar Açık Yönergeler meşru web sitelerinde. “
Bu bulgular ayrıca son haftalarda işaretlenen çeşitli kimlik avı ve sosyal mühendislik kampanyalarının ardından geliyor –
- Tarayıcı tarayıcısı (BITB) tekniğinin kullanımı sert Görünüşe göre gerçekçi tarayıcı, Counter-Strike 2’nin oyuncularını, bu hesaplara kâr için erişimi yeniden satma amacıyla buhar kimlik bilgilerini girmeye kandırıyor.
- Bilgi Stealer kötü amaçlı yazılım kullanımı Kaçırma MailChimp Hesaplarıtehdit aktörlerinin e -posta mesajlarını toplu olarak göndermesine izin vermek
- Kullanılmak SVG Dosyaları Spam filtrelerini atlamak ve kullanıcıları sahte Microsoft Oturum Açma Sayfalarına yönlendirmek için
- Kullanılmak Güvenilir İşbirliği Hizmetleri Güvenli E -posta Ağ Geçitleri (SEGS) ve çalmak için Adobe, Docusign, Dropbox, Canva ve Zoho gibi ve kimlik bilgilerini çalmak
- Kullanılmak Müzik Akışı Hizmetleri Sahtekarlık E -postaları Kimlik bilgileri ve ödeme bilgilerini hasat etmek amacıyla Spotify ve Apple Music gibi
- Şüpheli faaliyetlerle ilgili sahte güvenlik uyarılarının kullanılması Pencere Ve Apple Mac Kullanıcıları sistem kimlik bilgilerini sağlama konusunda aldatmak için sahte web sitelerindeki cihazlar
- Kullanılmak Sahte web siteleri Deepseek, I4Tools ve Youdao Sözlük Masaüstü Edition için Truva Projeleri Dağıtımı GH0ST RAT’ı düşüren
- Kullanılmak Faturalandırma temalı kimlik avı e-postaları İspanyol şirketlerini DarkCloud adlı bir bilgi çalkayı dağıtmasını hedeflemek
- Kullanılmak Romanya bankasını taklit eden kimlik avı e -postaları Romanya’da bulunan MassLogger hedefleme organizasyonları adlı bir bilgi stealer’ı dağıtmak
Bu saldırıların sağladığı riskleri azaltmak için, kuruluşların kullanıcılar için kimlik avına dirençli kimlik doğrulama yöntemlerini benimsemesi, kötü amaçlı web sitelerini engelleyebilen tarayıcılar kullanması ve uygulamaların veya kullanıcıların kötü niyetli alanlara erişmesini önlemek için ağ korumasını etkinleştirmesi önemlidir.
