Siber Muhbir

Malwarebytes'ten Jérôme Segura Perşembe günü yayınlanan bir raporda, "Tehdit aktörü, kötü amaçlı reklamlar oluşturmak için Google reklamveren hesaplarını kötüye kullanıyor ve bunları, şüphelenmeyen kullanıcıların bunun yerine Uzaktan Yönetim Truva Atı'nı (RAT'ler) indireceği sayfalara yönlendiriyor" dedi. "Bu tür programlar, bir saldırgana kurbanın makinesinin tam kontrolünü ve ek kötü amaçlı yazılım bırakma yeteneği verir."

FakeAPP kod adlı etkinliğin, Ekim 2023'ün sonlarında arama motorlarında WhatsApp ve Telegram gibi mesajlaşma uygulamalarını arayan Hong Kong kullanıcılarını hedef alan önceki bir saldırı dalgasının devamı olduğunu belirtmekte fayda var.

Kampanyanın en son yinelemesi, mesajlaşma uygulamaları listesine mesajlaşma uygulaması LINE'ı da ekleyerek kullanıcıları Google Dokümanlar veya Google Sites'ta barındırılan sahte web sitelerine yönlendiriyor.

Google altyapısı, sonuçta PlugX ve Gh0st RAT gibi truva atlarını dağıtan kötü amaçlı yükleyici dosyalarını teslim etmek için tehdit aktörünün kontrolü altındaki diğer sitelere bağlantılar yerleştirmek için kullanılır.

Malwarebytes, sahte reklamları Nijerya merkezli Interactive Communication Team Limited ve Ringier Media Nigeria Limited adlı iki reklamveren hesabına kadar takip ettiğini söyledi.

Segura, "Ayrıca, tehdit aktörünün sürekli olarak yeni yükleri ve altyapıyı komuta ve kontrol olarak zorlayarak niceliği kaliteye göre ayrıcalıklı kıldığı görülüyor" dedi.

Gelişme, Trustwave SpiderLabs'ın Microsoft 365 kullanıcılarını hedefleyen meşru görünümlü kimlik bilgisi toplama sayfaları oluşturmak için Greatness adlı bir hizmet olarak kimlik avı (PhaaS) platformunun kullanımında bir artış olduğunu açıklamasıyla geldi.

Şirket, "Kit, gönderen adlarını, e-posta adreslerini, konuları, mesajları, ekleri ve QR kodlarını kişiselleştirmeye olanak tanıyarak alaka düzeyini ve etkileşimi artırıyor" dedi ve spam filtrelerini ve güvenlik sistemlerini atlamayı amaçlayan başlıkları rastgele hale getirme, kodlama ve gizleme gibi algılama önleyici önlemlerle birlikte geldiğini de sözlerine ekledi.

Greatness, diğer suç aktörlerine ayda 120 dolara satışa sunuluyor, bu da giriş engelini etkili bir şekilde azaltıyor ve geniş ölçekte saldırılar gerçekleştirmelerine yardımcı oluyor.

Saldırı zincirleri, alıcılar tarafından açıldığında onları girilen oturum açma kimlik bilgilerini yakalayan ve ayrıntıları Telegram aracılığıyla tehdit aktörüne sızdıran sahte bir oturum açma sayfasına yönlendiren kötü amaçlı HTML ekleri taşıyan kimlik avı e-postaları göndermeyi gerektirir.

Diğer enfeksiyon dizileri, bilgi hırsızlığını kolaylaştırmak için kurbanın makinesine kötü amaçlı yazılım bırakmak için eklerden yararlandı.

Saldırının başarı olasılığını artırmak için, e-posta mesajları bankalar ve işverenler gibi güvenilir kaynakları taklit eder ve "acil fatura ödemeleri" veya "acil hesap doğrulaması gerekli" gibi konuları kullanarak yanlış bir aciliyet duygusu uyandırır.

Trustwave, "Kurbanların sayısı şu anda bilinmiyor, ancak Greatness, kitin nasıl çalıştırılacağına dair bilgilerin yanı sıra ek ipuçları ve püf noktaları sağlayan kendi Telegram topluluğu ile yaygın olarak kullanılıyor ve iyi destekleniyor" dedi.

Kimlik avı saldırılarının, AsyncRAT'ı kötü amaçlı Windows kısayol (LNK) dosyaları aracılığıyla dağıtmak için Kakao gibi teknoloji şirketlerini taklit eden tuzaklar kullanan Güney Koreli şirketleri vurduğu da gözlemlendi.

AhnLab Güvenlik İstihbarat Merkezi (ASEC), "Meşru belgeler olarak gizlenmiş kötü amaçlı kısayol dosyaları sürekli olarak dağıtılıyor" dedi. "Kullanıcılar kısayol dosyasını normal bir belgeyle karıştırabilir. LNK' uzantısı dosyaların adlarında görünmüyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.