Giriş
Son zamanlarda, İspanyolca konuşan kullanıcıları hedef alan çok yönlü bir kimlik avı kampanyası, Latin Amerika ve Avrupa genelindeki kuruluşlarda büyük bir tehdit oluşturmaktadır. Bu kampanya, Windows bankacılık trojanları olan Casbaneiro (özellikle Metamorfo olarak da bilinir) ve horabot adlı başka bir kötü amaçlı yazılımın dağıtımına odaklanmaktadır.
Saldırı Nasıl Çalışıyor?
Bu kampanya, Brezilya merkezli bir siber suç grubu tarafından yürütülmektedir; grup, Augmented Marauder ve Water Saci olarak adlandırılmaktadır. İlk olarak Trend Micro tarafından Ekim 2025’te belgelenen bu tehdit grubu, özelleştirilmiş bir dağıtım ve yayılma mekanizması kullanmaktadır. Kullanılan teknikler arasında:
- WhatsApp otomasyonu
- ClickFix teknikleri
- Email merkezli kimlik avı
Kampanyanın başlangıç noktası, mahkeme celbi temasına sahip phishing (kimlik avı) e-postasıdır. Bu e-posta, alıcıları şifre korumalı bir PDF dosyasını açmaya ikna etmeyi hedeflemektedir. PDF içindeki bir bağlantıya tıklamak, kurbanı zararlı bir bağlantıya yönlendirir ve bir ZIP arşivinin otomatik olarak indirilmesini başlatır. Bu arşiv, geçici HTML Application (HTA) ve VBS yüklerini çalıştırmaktadır.
Etkilenen Sistemler
VBS scripti, Horabot belgelerinde bulunabilecek gibi ortam ve analiz kontrolü yapmaktadır. Örneğin, Avast antivirus yazılımını kontrol ederek sistemdeki zayıflıkları tespit etmektedir. Ardından, bir uzaktan sunucudan bir sonraki aşama yüklerini edinmektedir. İndirilen dosyalar arasında:
- AutoIt tabanlı yükleyiciler
- Şifrelenmiş yük dosyaları (“.ia” veya “.at” uzantılı)
Bu dosyalar, nihayetinde iki kötü amaçlı yazılım ailesini başlatmaktadır: Casbaneiro (“staticdata.dll”) ve Horabot (“at.dll”). Casbaneiro, ana yük olarak görev yaparken, Horabot, kötü amaçlı yazılımın yayılmasını sağlamak için kullanılmaktadır.
Çözüm ve Korunma
Casbaneiro , ana yük olarak, bir komut ve kontrol (C2) sunucusuna bağlanarak PowerShell skripti indirmekte ve Horabot ‘u kullanarak elde edilen kişilerin e-posta adreslerine kimlik avı e-postaları göndermektedir. Süreç hakkında detaylar:
- Statik bir dosya veya bağlantı yerine, dinamik olarak oluşturulmuş bir PDF sunulmaktadır.
- Kurbanın e-posta hesabından, yeni oluşturulan PDF’nin eklendiği özelleştirilmiş kimlik avı e-postaları gönderilmektedir.
Ek olarak, Horabot‘a ait ikinci bir DLL (“at.dll”) ise, Yahoo, Live ve Gmail hesaplarını hedef alarak spam ve hesap ele geçirme aracısı olarak kullanılmaktadır.
Aksiyon
Okuyuculara önerimiz, sistemlerinizi ve yazılımlarınızı güncel tutmaktır. Özellikle şu noktalara dikkat etmenizi tavsiye ederiz:
- Antivirüs yazılımlarınızı güncelleyin ve taramalar gerçekleştirin.
- Güvenilmeyen kaynaklardan gelen e-postalara dikkat edin ve şifre korumalı dosyaları açmamaya özen gösterin.
- Ağınızda gereksiz portları kapatın ve firewall ayarlarınızı gözden geçirin.
Bu tür tehditlere karşı bilinçli olmak ve güvenlik protokollerine uymak, sizi potansiyel risklerden koruyacaktır.
