Yeni Bir Phishing Kampanyası: Amnesia RAT
Rusya’daki kullanıcıları hedef alan yeni bir çok aşamalı phishing kampanyası, fidye yazılımı ve Amnesia RAT adlı uzaktan erişim truva atı ile dikkat çekiyor. Bu tür siber saldırılar, sosyal mühendislik kullanarak, kullanıcıları zararlı yazılımlara maruz bırakabilecek belge sahtekarlığı ile başlıyor.
Saldırı Nasıl Çalışıyor?
Saldırı, iş dünyasına yönelik belgeler aracılığıyla gerçekleştirilen sosyal mühendislik teknikleri ile başlar. Bu belgeler, görünüşte sıradan ve zararsız olduğu için hedefler üzerinde dikkat çekmeden zararlı faaliyetlerin arka planda yürütülmesine olanak tanır.
- Saldırının kritik bir yönü, çok sayıda kamu bulut hizmeti kullanarak farklı türde payload’ların dağıtılmasıdır.
- GitHub genellikle script dağıtımı için kullanılırken, Dropbox ikili yükleri barındırmaktadır. Bu ayrım, saldırının engellenmesini zorlaştırarak dayanıklılığı artırır.
- Ayrıca, Defendnot kullanılarak Microsoft Defender’ın devre dışı bırakılması önemli bir özellik olarak öne çıkmaktadır. Defendnot, Windows üzerinde başka bir antivirüs programının yüklü olduğunu düşündürerek güvenlik programını kandırmak için geliştirilen bir araçtır.
Etkilenen Sistemler
Kampanya, sıkıştırılmış arşivler üzerinden dağıtılan belgeleri kullanır. Bu belgeler, üzerinde Rusça dosya adları taşıyan kötü amaçlı bir Windows kısayolunu (LNK) içermektedir.
- Kısayol dosyası iki uzantıya sahiptir, bu da onu bir metin dosyası gibi gösterir: “Задание_для_бухгалтера_02отдела.txt.lnk”.
- Çalıştırıldığında, kötü niyetli bir PowerShell komutunu devreye sokarak, bir GitHub deposunda barındırılan sonraki aşama için script’i alır.
Bu script, arka planda hiçbir iz bırakmadan diğer aşamalara geçiş yapar. Kullanıcıdan ek izin almaya çalışırken User Account Control (UAC) pencereleri açarak kendine yetki kazanmaya çalışır.
Çözüm ve Korunma
Malware, birçok izleme ve kötü niyetli etkinlik gerçekleştirebilmesi için şu adımları takip eder:
- Microsoft Defender’a dışlama ekleyerek güvenlik taramalarını engeller.
- PowerShell ile Defender’ın ek koruma bileşenlerini devre dışı bırakır.
- Defendnot aracılığıyla sahte bir antivirüs ürünü kaydederek Microsoft Defender’ın devre dışı kalmasını sağlar.
- Telegram botu üzerinden ekran görüntüleri alarak bilgisayar ortamını gözetler.
- Windows yönetim araçlarını devre dışı bırakmak için kayıt defteri ayarlarıyla oynar.
- Belirli dosya uzantılarıyla açılan dosyaların içeriğini değiştiren bir mekanizma uygulayarak kullanıcıyı tehdit eder.
Son aşamada, Amnesia RAT, sistemden bilgi ç stolen ebilen ve uzaktan kontrol imkanı sunan bir yazılımdır. Bu tür saldırılara karşı koruma sağlamak adına aşağıdaki önlemleri almanız önemlidir:
- Microsoft Defender’ın Tamper Protection özelliğini etkinleştirin.
- Şüpheli API çağrılarını veya Defender hizmet değişikliklerini izleyin.
- Sistem güncellemelerini düzenli aralıklarla yapın ve şüpheli e-postalardan gelen dosyaları açmaktan kaçının.
Aksiyon: Ne Yapmalısınız?
Okuyucuların bu tür saldırılarla karşılaşmamak için yapması gerekenler:
- Microsoft Defender ve diğer güvenlik yazılımlarınızı güncel tutun.
- Tamper Protection’ı etkinleştirin.
- Şüpheli belgeler ve eklerden uzak durun. Eğer bir şüphe durumunda kullanılmayan portları kapatmayı düşünün. Bu adımlar, siber güvenliğinizi artıracaktır.
