Qakbot botnet için ek uç noktalardan ödün vermek isteyen yeni bir e-posta kimlik avı kampanyası tespit edildi.
Qakbot yaklaşık 15 yıldır piyasada, yaşamı boyunca birçok kez kendini yeniden keşfetti ve şimdi yükü daha fazla cihaza dağıtmak için insanların e-posta ileti dizilerini ele geçiriyor.
Sophos’tan siber güvenlik araştırmacıları, Qakbot bir cihaza bulaştığında, e-posta hesaplarını ve giriş kimlik bilgilerini tarayan bir yük sağladığını keşfetti. Başarılı olursa, gelen kutusundan geçer ve mevcut her e-posta tehdidine yanıt gönderir (tüm kişilere yeni bir e-posta göndermek yerine). Yanıt, orijinal mesajın bir alıntısının yanı sıra ekte kötü niyetli bir yük taşıyacaktır.
Çok aşamalı saldırılar
Tehdit aktörü, yeni bir e-posta göndermek yerine devam eden bir ileti dizisine yanıt vererek kurbanın gardını düşürmeyi umuyor. İnsanlar birdenbire şüpheli e-postalar alırken dikkatli olabilirler, ancak bilinen bir kişiden, devam eden bir ileti dizisinde yanıt aldıklarında, ekin içeriğini incelemeye daha meyilli olabilirler.
Sophos, orijinal e-posta ileti dizisinin diline bağlı olarak, İngilizce’nin yanı sıra, cazibenin birden fazla dilde gönderilebileceği konusunda uyarıyor.
Ancak Quakbot’un gerçek tehlikesi, çok aşamalı bir saldırıda birinci aşama kötü amaçlı yazılım olarak hizmet edebilmesidir. Fidye yazılımı gibi başka, daha uğursuz yükler sağlayabilir.
Andrew Brandt, “Qakbot, kendileri veya üçüncü taraflar adına veri hırsızlığı ve kötü amaçlı yazılım dağıtım hizmetleri gerçekleştiren tam hizmetli bir botnettir. Yükleri barındırmak için masum üçüncü taraflara ait web sitelerine erişmek için kimlik bilgileri hırsızlığından açıkça yararlanırlar.” , Sophos Labs baş araştırmacısı söyledi ZDNet.
Her zaman olduğu gibi, gönderenin kim olduğuna bakılmaksızın, kullanıcıların ekleri olan e-postaları alırken ekstra dikkatli olmaları önerilir.
Üzerinden: ZDNet
