Black Basta fidye yazılımı grubuyla bağlantıları olduğu iddia edilen devam eden bir sosyal mühendislik kampanyasının, kimlik bilgisi hırsızlığı yapmak ve SystemBC adlı bir kötü amaçlı yazılım dağıtıcısı dağıtmak amacıyla “çoklu saldırı girişimleriyle” bağlantısı kuruldu.
“Tehdit aktörleri tarafından kullanılan ilk yem aynı: Etkilenen kullanıcıları arayıp sahte bir çözüm sunma girişiminin ardından gelen bir e-posta bombası,” Rapid7 söz konusu“Etkilenen kullanıcılara yapılan dış aramalar genellikle Microsoft Teams üzerinden yapılıyordu.”
Saldırı zinciri daha sonra kullanıcıyı AnyDesk adlı meşru bir uzaktan erişim yazılımını indirip yüklemeye ikna eder; bu yazılım, takip eden yükleri dağıtmak ve hassas verileri sızdırmak için bir kanal görevi görür.
Bu, e-posta spam filtrelerini indirmeyi amaçlayan ve kullanıcıları güncellemeyi tamamlamak için Windows kimlik bilgilerini girmeye zorlayan “AntiSpam.exe” adlı yürütülebilir dosyanın kullanımını da içeriyor.
Bu adım, uzak bir sunucuyla iletişim kuran Golang tabanlı bir HTTP işaretçisi, bir SOCKS proxy’si ve SystemBC’yi içeren birkaç ikili dosyanın, DLL dosyasının ve PowerShell betiğinin yürütülmesini takip eder.
Tehdidin oluşturduğu riski azaltmak için, onaylanmamış tüm uzak masaüstü çözümlerini engellemeniz ve şirket içi BT personelinden geliyormuş gibi görünen şüpheli telefon görüşmelerine ve mesajlara karşı dikkatli olmanız önerilir.
ReliaQuest’in verilerine göre, SocGholish (diğer adıyla FakeUpdates), GootLoader ve Raspberry Robin’in 2024 yılında en sık görülen yükleyici türleri olarak ortaya çıkması ve bu tür yükleyicilerin fidye yazılımları için bir basamak görevi görmesi bekleniyor.
Siber güvenlik şirketi, “GootLoader, bu yıl QakBot’un yerini alarak ilk üçe girdi, çünkü etkinliği azaldı” dedi. söz konusu.
“Kötü amaçlı yazılım yükleyicileri, XSS ve Exploit gibi karanlık web siber suçlu forumlarında sıklıkla reklamı yapılır ve burada ağ saldırılarını ve yük dağıtımını kolaylaştırmayı amaçlayan siber suçlulara pazarlanır. Bu yükleyiciler genellikle abonelik modelleriyle sunulur ve aylık ücretler, düzenli güncellemelere, desteğe ve tespit edilmekten kaçınmak için tasarlanmış yeni özelliklere erişim sağlar.”
Abonelik tabanlı bu yaklaşımın bir avantajı, sınırlı teknik uzmanlığa sahip tehdit aktörlerinin bile karmaşık saldırılar düzenlemesine olanak tanımasıdır.
Ayrıca, çok katmanlı bir dağıtım mekanizmasının parçası olarak Ande Loader adı verilen başka bir yükleyici aracılığıyla 0bj3ctivity Stealer adı verilen bir bilgi hırsızı kötü amaçlı yazılımın iletildiği de gözlemlenmiştir.
“Kötü amaçlı yazılımın, gizlenmiş ve şifrelenmiş betikler, bellek enjeksiyon teknikleri ve Ande Loader’ın hata ayıklama önleme ve dize gizleme gibi özelliklerle sürekli olarak geliştirilmesi yoluyla dağıtılması, gelişmiş tespit mekanizmalarına ve sürekli araştırmaya olan ihtiyacı vurguluyor,” eSentire söz konusu.
Bu kampanyalar, tehdit aktörlerinin giderek daha fazla sayıda kişiye saldırmaya başlamasına rağmen, son haftalarda ortaya çıkarılan bir dizi kimlik avı ve sosyal mühendislik saldırısının sadece sonuncusu. Sahte QR kodlarını silahlandırmak kötü niyetli amaçlar için –
- ClearFake kampanyası kaldıraçlar Google Chrome güncellemesini indirme bahanesiyle .NET kötü amaçlı yazılımlarını yaymak için tehlikeye atılmış web sayfaları
- A kampanya HSBC, Santander, Virgin Money ve Wise gibi sahte web sitelerini kullanarak Windows ve macOS kullanıcılarına AnyDesk Uzaktan İzleme ve Yönetim (RMM) yazılımının bir kopyasını sunan ve ardından hassas verileri çalmak için kullanılan
- A sahte web sitesi (“kazan-rar[.]co”) görünüşe göre GitHub’da barındırılan fidye yazılımı, kripto para madenciliği ve Kematian Stealer adlı bilgi hırsızlığını dağıtmak için kullanılan WinRAR’ı dağıtıyor
- A sosyal medya kötü amaçlı reklam kampanyası kurbanları ITarian’ın RMM aracını indirmeye ve Lumma Stealer’ı teslim etmek için kullanmaya ikna eden ücretli reklamlar aracılığıyla görünüşte meşru bir yapay zeka (AI) fotoğraf düzenleme web sitesini tanıtmak için Facebook sayfalarını ele geçiren
Trend Micro araştırmacıları, “Sosyal medya kullanıcılarının kötü amaçlı faaliyetler için hedef alınması, hesap kimlik bilgilerini korumak ve yetkisiz erişimi önlemek için sağlam güvenlik önlemlerinin önemini vurguluyor” dedi.
