Yeni Bir Phishing Kampanyası: LinkedIn Üzerinden Dağıtılan Zararlı Yazılımlar
Son günlerde, güvenlik araştırmacıları, sosyal medya platformları üzerinden yayılan yeni bir phishing kampanyasını ortaya çıkardı. Bu kampanya, kötü niyetli dosyaları dağıtarak uzaktan erişim trojanı (RAT) yüklemeyi hedeflemektedir.
Saldırı Nasıl Çalışıyor?
Bu saldırı, değerli bireylerle LinkedIn mesajları aracılığıyla iletişim kurarak güven tesis etmeye ve onları kötü niyetli bir WinRAR kendi kendine çıkaran arşiv (SFX) indirmeye ikna etmeye çalışmaktadır. Başlatıldığında, arşiv dört farklı bileşeni çıkarır:
- Yasal bir açık kaynak PDF okuyucu uygulaması
- PDF okuyucu tarafından yüklenen kötü niyetli bir DLL dosyası
- Python yorumlayıcısının taşınabilir çalıştırılabilir dosyası ( PE )
- Olasılıkla bir aldatmaca olarak kullanılan bir RAR dosyası
Bölünmüş olan PDF okuyucu uygulaması çalıştırıldığında, kötü niyetli DLL yüklenecektir. DLL sideloading tekniği, siber saldırganların tespit edilmeyi önlemek ve kötü niyetli etkinlik belirtilerini gizlemek amacıyla meşru süreçleri kullanarak giderek daha sık başvurdukları bir yöntemdir.
Etkilenen Sistemler
Son bir haftada, en az üç belgelenmiş kampanya, LOTUSLITE ve PDFSIDER gibi kötü niyetli yazılımları dağıtmak için DLL sideloading tekniğini kullanmıştır. ReliaQuest tarafından gözlemlenen kampanyada, yüklenen DLL dosyası, sistemde Python yorumlayıcısını indirir ve her oturum açıldığında otomatik olarak çalıştırılmasını sağlamak için bir Windows Registry Run anahtarı oluşturur. Yorumlayıcının ana görevi, diskte adli kalıntı bırakmamak için doğrudan bellekte yürütülen Base64 kodlu açık kaynak shellcode‘u yürütmektir.
Son aşamada, payload dış bir sunucuyla iletişim kurmaya çalışarak saldırganlara uzaktan sürekli erişim sağlar ve ilgi çekici verileri sızdırır.
Çözüm ve Korunma
Meşru açık kaynak araçların kötüye kullanımı ve sosyal medya platformlarında gönderilen phishing mesajları, phishing saldırılarının yalnızca e-posta ile sınırlı olmadığını ve alternatif dağıtım yöntemlerinin güvenlik açıklarını kullanabileceğini göstermektedir. ReliaQuest, bu kampanyanın geniş ve fırsatçı görünümde olduğunu belirtiyor. Zira bu tür faaliyetler doğrudan mesajlarda gerçekleştirildiği için sosyal medya platformları genellikle e-posta kadar izlenmemektedir.
Aşağıdaki önlemleri alarak saldırılara karşı kendinizi koruyabilirsiniz:
- Sistemlerinizi güncelleyin: Yazılım güncellemeleri, güvenlik açıklarını kapatmanın en etkili yoludur.
- Şüpheli mesajlardan kaçının: Bilinmeyen veya güven vermeyen kişilerden gelen mesajları dikkate almayın.
- Güvenlik yazılımlarını kullanın: E-posta dışında sosyal medya platformlarındaki özel mesajları izleyen güvenlik çözümleri kullanın.
Sosyal medya platformlarını, başlangıç erişimi için kritik bir saldırı yüzeyi olarak tanımamız ve savunmalarımızı e-posta merkezli önlemlerin ötesine genişletmemiz gerekiyor.
