Yeni Bir Phishing Saldırısı: UpCrypter Tehdidi
Son dönemde siber güvenlik araştırmacıları, sahte sesli mesajlar ve satın alma siparişlerini kullanarak bir malware loader olan UpCrypter’ı dağıtan yeni bir phishing kampanyasını tespit etti. Bu kampanya, kullanıcıları aldatmak için dikkatlice hazırlanmış e-postalar kullanarak zararlı URL’ler içeriyor. Fortinet FortiGuard Labs’tan araştırmacı Cara Lin, “Bu sahte sayfalar, alıcıları JavaScript dosyalarını indirmeye teşvik edecek şekilde tasarlanmıştır,” diyor.
Hedef Alıcılar: Sektör ve Ülkeler
Phishing saldırıları, özellikle üretim, teknoloji, sağlık, inşaat ve perakende/hizmet sektörlerinde yaygın olarak gözlemlenmiştir. 2025’in Ağustos başından beri, Avusturya, Belarus, Kanada, Mısır, Hindistan ve Pakistan gibi ülkelerde çoğunlukla görülen enfeksiyonlar dikkat çekiyor. Bu durum, siber güvenlik tehditlerinin küresel ölçekte ne kadar yaygın olduğu üzerine önemli ipuçları sunuyor.
UpCrypter’ın Çalışma Mekanizması
UpCrypter, çeşitli uzaktan erişim araçlarını (RAT) aktaran bir yükleyici olarak görev yapıyor. Bu RAT’lar arasında PureHVNC RAT, DCRat (aka DarkCrystal RAT) ve Babylon RAT bulunuyor. Bu yazılımlar, saldırganların compromised (kompromize olmuş) makineleri tam kontrol etmelerini sağlıyor. Enfeksiyon zincirinin başlangıç noktası ise sahte sesli mesajlar ve satın alma konularına dair temalar içeren bir phishing e-postası olarak karşımıza çıkıyor. Alıcılar, bu e-postalarda yer alan linklere tıklamaya yönlendiriliyorlar.
Sahte Sayfa ve Zararlı İndirme Süreci
Fortinet’e göre, “Aldatıcı sayfa, yalnızca kurbanın domain kelime öbeğini banner’da göstererek değil, aynı zamanda domainin logosunu sayfa içeriğine entegre ederek, sahte güvenilirlik oluşturmaktadır.” Bu sayfaların temel amacı, zararlı bir indirme gerçekleştirmektir. İndirilen yük, obfuscate edilmiş (maskelenmiş) bir JavaScript dosyası içeren bir ZIP arşividir. Bu dosya, dış bir sunucuya bağlanarak bir sonraki aşama malware’yi indirmektedir.
Yükleyici, yalnızca internet bağlantısını doğruladıktan sonra ve çalışan süreçleri analiz araçları, hata ayıklayıcılar veya sandbox ortamları için taradıktan sonra çalışmalarına devam eder. Bu tip güvenlik kontrollerinin ardından, saldırganlar nihai yükü elde etmek için kullanışlı bir teknik olan steganography (gizleme tekniği) ile birlikte devam ederler.
MSIL Loader ve Ek Özellikleri
Fortinet, UpCrypter’ın MSIL (Microsoft Intermediate Language) yükleyici olarak da dağıtıldığını vurguluyor. JavaScript yükleyicisi gibi, bu MSIL yükleyici de anti-analiz ve anti-sanal makine kontrolleri gerçekleştiriyor. Ardından, üç farklı yük indiriyor: obfuscate edilmiş bir PowerShell script’i, bir DLL dosyası ve ana yük. Sonuç olarak, script, yükleyiciden ve payload’dan alınan verilerle, kötü amaçlı yazılımı dosya sistemine yazmadan çalıştırılmasını sağlıyor.
Bu yöntem, ayrıca adli izleri minimize etmenin avantajını sunuyor. Lin, “Aktif olarak güncellenen bir yükleyici, katmanlı obfuscation ve çeşitli RAT dağıtımının birleşimi, savunmaları aşabilen ve farklı ortamlarda kalıcı kalabilen bir tehdit ekosistemi sunmaktadır,” diyor.
Check Point’ın Çağrı Merkezi Üzerinden Phishing Saldırısı
Check Point, Google Classroom sistemini kötüye kullanan büyük ölçekli bir phishing kampanyası hakkında detaylar paylaştı. 6-12 Ağustos 2025 tarihleri arasında 13,500 organizasyona yönelik olarak 115,000‘den fazla phishing e-postası gönderildi. Saldırganlar, sahte davetiyeler göndererek, bu e-postalar aracılığıyla alıcıları dolandırmaya çalıştı.
Bu saldırılar, e-posta güvenlik sistemlerini atlamak için Google Classroom’un sağladığı güven ve itibarı kullanıyor. SPF, DKIM ve DMARC gibi kilit e-posta kimlik doğrulama protokollerini bypass ederek, phishing e-postalarının kullanıcıların gelen kutularına ulaşmasına yardımcı oluyor.
Yasal Düzenlemeler ve Önlemler
Direct Send’in kötüye kullanılmasının ardından, Microsoft, bu durumu doğrudan ele almak için organizasyonlara “Reject Direct Send” seçeneği sunmuştur. Müşteriler ayrıca, iç iletişim iddiasındaki e-postaların tespit edilmesi için özel başlık damgalama ve karantina politikaları uygulayabilirler.
Bu gelişmeler, aynı zamanda saldırganların phishing sayfalarında müşteri tarafı kaçınma tekniklerine daha fazla güven duyması ile birlikte başlamıştır. Javascript tabanlı engellemeler, Browser-in-the-Browser (BitB) şablonları ve sayfaları sanal masaüstü ortamlarında barındırma gibi teknikler, hem otomatik tespit sistemlerine hem de insan analistlerine karşı daha etkili olmuştur.
Siber güvenlik dünyası, tehdit aktörlerinin sürekli gelişen taktikleri karşısında mücadele etmeye devam ederken, kullanıcıların dikkatli olmaları ve güvenlik önlemlerini artırmaları giderek daha önemli hale geliyor.
