Finansal Tehditlerin Yükselişi
Finansal motive ile çalışan bir operasyon olan REF1695, Kasım 2023’ten bu yana sahte yükleyiciler aracılığıyla uzaktan erişim trojanları (RAT) ve kripto para madencileri dağıttığı gözlemlenmiştir. Bu tehdit grubu, kurbanları yazılım kaydı bahanesiyle CPA (Cost Per Action) dolandırıcılığına yönlendirmektedir.
Saldırı Nasıl Çalışıyor?
Son kampanya iterasyonları, daha önce belgelenmemiş bir .NET implantı olan CNB Bot‘u içermektedir. Bu saldırılar, aşağıdaki adımları izleyerek etkili olmaktadır:
- ISO dosyası aracılığıyla bulaşma: Kullanıcıya, Microsoft Defender SmartScreen korumalarını geçmek için talimatlar içeren bir metin dosyası sunulur.
- PowerShell kullanımı: Yükleyici, Microsoft Defender Antivirus’ta geniş dışlamalar yapılandırarak gözden kaçmayı sağlar.
- Kullanıcı için yanıltıcı mesajlar: Örneğin “Uygulama başlatılamıyor. Sisteminiz gereken gereksinimleri karşılamıyor,” gibi mesajlar gösterilir.
Etkilenen Sistemler
- Windows işletim sistemleri, özelikle zayıf güvenlik ayarlarına sahip sürümler.
- Microsoft Defender Antivirus ve benzeri güvenlik yazılımları.
Çözüm ve Korunma
Güvenlik uzmanları, mevcut tehditleri önlemek ve saldırıları engellemek adına aşağıdaki önlemleri önermektedir:
- Antivirüs yazılımlarınızı güncelleyin ve sistem taramalarını düzenli olarak gerçekleştirin.
- Kullanıcı eğitimleri ile sahte yükleyicilere karşı farkındalığı artırın.
- Uzaktan erişim protokollerini ve güvenlik duvarı ayarlarını gözden geçirin.
Sonuç
Bu tür tehditlerle karşılaşmamak için, sistemlerinizi güncel tutmalı, bilinmeyen kaynaklardan dosya indirmekten kaçınmalısınız. Ayrıca, belirli portları kapatmak ve güvenlik duvarınızı güçlendirmek de kritik öneme sahiptir.
