Siber Muhbir

Zscaler ThreatLabz araştırmacıları, "Tehdit aktörü, Android platformları için SpyNote RAT ve Windows sistemleri için NjRAT ve DCRat dahil olmak üzere Uzaktan Erişim Truva Atları (RAT'ler) dağıtıyor" dedi.

Sahte siteler Rusça'dır ve meşru muadillerine çok benzeyen alan adlarında barındırılır, bu da saldırganların olası kurbanları kötü amaçlı yazılımı indirmeye ikna etmek için typosquatting hileleri kullandığını gösterir.

Ayrıca Android, iOS ve Windows platformları için uygulamayı indirme seçenekleriyle birlikte gelirler. Android indirme düğmesine tıklamak bir APK dosyası indirirken, Windows uygulaması düğmesine tıklamak bir toplu komut dosyasının indirilmesini tetikler.

Kötü amaçlı toplu iş komut dosyası, bir PowerShell komut dosyasının yürütülmesinden sorumludur ve bu da uzaktan erişim truva atını indirir ve yürütür.

Şu anda, iOS uygulamasının düğmesine tıklamanın kullanıcıyı Skype için meşru Apple App Store listesine götürdüğü göz önüne alındığında, tehdit aktörünün iOS kullanıcılarını hedef aldığına dair bir kanıt yoktur.

Araştırmacılar, "Bir tehdit aktörü, gizli bilgileri çalabilen, tuş vuruşlarını kaydedebilen ve dosyaları çalabilen Android ve Windows için RAT'leri dağıtmak için bu yemleri kullanıyor" dedi.

Gelişme, AhnLab Güvenlik İstihbarat Merkezi'nin (ASEC), hem Windows hem de Linux'u hedef alan WogRAT adlı yeni bir kötü amaçlı yazılımın, kötü amaçlı kodu barındırmak ve almak için gizli bir vektör olarak aNotepad adlı ücretsiz bir çevrimiçi not defteri platformunu kötüye kullandığını ortaya çıkarmasıyla geldi.

En azından 2022'nin sonlarından itibaren aktif olacağı ve diğerlerinin yanı sıra Çin, Hong Kong, Japonya ve Singapur gibi Asya ülkelerini hedef alacağı söyleniyor. Bununla birlikte, şu anda kötü amaçlı yazılımın vahşi doğada nasıl dağıtıldığı bilinmemektedir.

ASEC, "WogRAT ilk kez çalıştırıldığında, virüslü sistemin temel bilgilerini toplar ve bunları C&C sunucusuna gönderir" dedi. "Kötü amaçlı yazılım daha sonra komutları yürütme, sonuçları gönderme, dosyaları indirme ve bu dosyaları yükleme gibi komutları destekler."

Ayrıca, TA4903 olarak bilinen finansal olarak motive olmuş bir siber suçlu aktörü tarafından kurumsal kimlik bilgilerini çalmak ve muhtemelen bunları iş e-postası ele geçirme (BEC) saldırılarıyla takip etmek için düzenlenen yüksek hacimli kimlik avı kampanyalarıyla aynı zamana denk geliyor. Düşman, en az 2019'dan beri aktif ve faaliyetler 2023'ün ortalarından sonra yoğunlaşıyor.

Proofpoint, "TA4903, kurumsal kimlik bilgilerini çalmak için çeşitli ABD devlet kurumlarını taklit eden kampanyalar yürütüyor" dedi. "Aktör ayrıca inşaat, finans, sağlık, yiyecek ve içecek ve diğerleri dahil olmak üzere çeşitli sektörlerdeki kuruluşları taklit ediyor."

Saldırı zincirleri, kimlik avı için QR kodlarının (diğer adıyla quishing) kullanılmasının yanı sıra iki faktörlü kimlik doğrulama (2FA) korumalarını atlamak için EvilProxy ortadaki düşman (AiTM) kimlik avı kitine güvenmeyi içerir.

Bir hedef posta kutusunun güvenliği ihlal edildiğinde, tehdit aktörünün mevcut e-posta dizilerini ele geçirmek ve fatura sahtekarlığı gerçekleştirmek amacıyla ödemeler, faturalar ve banka bilgileriyle ilgili bilgileri aradığı gözlemlendi.

Kimlik avı kampanyaları, DarkGate, Agent Tesla ve Remcos RAT gibi diğer kötü amaçlı yazılım aileleri için de bir kanal işlevi gördü ve sonuncusu, kötü amaçlı yazılımı güvenliği ihlal edilmiş ana bilgisayarlara bırakmak için steganografik tuzaklardan yararlanıyor.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.