Amerika Birleşik Devletleri’ndeki vergi mevsimi bir kez daha gelmek üzere, bu da tek bir anlama gelebilir – bilgisayar korsanları, her şekil ve büyüklükteki işletmelerden para ve hassas bilgileri çalmak amacıyla İç Gelir Servisi’nin (IRS) kimliğine bürünecek.
Palo Alto Networks ve Malwarebytes adlı iki şirketten siber güvenlik araştırmacıları, tam da bunu yapan ancak biraz farklı yaklaşımlara sahip iki kötü amaçlı kimlik avı kampanyası keşfetti.
Bir kampanyada, saldırganlar IRS’yi taklit edecek ve sahte bir W-9 vergi formu paylaşacaktı. (yeni sekmede açılır) e-posta yoluyla. Faks formu aslında, virüslü uç noktalardan hassas verileri çalabilen ve kendisini daha fazla dağıtmak için kullanabilen Emotet kötü amaçlı yazılımıdır. Emotet ayrıca, tehdit aktörlerinin fidye yazılımı da dahil olmak üzere farklı kötü amaçlı yazılım türlerini dağıtmasına izin veren bir damlalık işlevi görebilir.
Word ve OneNote dosyaları
Bu kampanyada saldırganlar, virüsten koruma programlarının tetiklenmesini önlemek için kötü amaçlı yazılım yüklü bir Word belgesini 500MB+’ya şişirilmiş olarak göndereceklerdi. Bununla birlikte, Microsoft’un internetten indirilen Office dosyalarından makroları engellediği göz önüne alındığında, bu kampanyanın o kadar başarılı olmama olasılığı yüksektir.
İkinci kampanyanın farkı, bu saldırganların Word dosyaları yerine kötü amaçlı eklentiler içeren OneNote dosyalarını dağıtmasıdır.
Bunlar internetten indirildiğinde henüz tamamen bloke edilmemiştir, bu nedenle başarı oranı muhtemelen biraz daha yüksek olacaktır. Bu kampanyada, saldırganlar “korumalı” (bulanık görünüyor) ve kullanıcının “Kilidi Aç” veya “Görüntüle”yi veya benzer bir harekete geçirici mesajı tıklamasını gerektiren bir Not Defterini (bir OneNote dosyası) paylaşacaktı. Ancak, gerçekte yapacakları şey, Emotet kötü amaçlı yazılımını indirecek olan eklentiyi tetiklemektir.
İkinci büyük fark, bu dosyaların sahte IRS’den değil, kurbanların başka türlü ilişki kurduğu sahte ortaklardan, müşterilerden veya işletmelerden gelmesidir.
Genellikle, vergi formları bir .DOCX dosyası olarak değil, bir .PDF dosyası olarak dağıtılır; bu muhtemelen bir siber saldırıyı tespit etmenin en iyi yoludur. Ayrıca, OneNote tam olarak piyasadaki en popüler üretkenlik aracı değildir, bu nedenle bir NoteBook dosyası almak en başından tehlike işareti olmalıdır.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
