Siber güvenlik araştırmacıları, finansal olarak motive olmuş bir kampanyanın bir parçası olarak Brezilya devlet kurumlarını taklit eden kopya kimlik avı sayfaları oluşturmak için Meşru Üretken Yapay Zeka (AI) ile çalışan web sitesi oluşturma araçlarını kullanan yeni bir kampanyaya dikkat çekiyor.
Etkinlik, Brezilya Devlet Trafik Departmanı ve Eğitim Bakanlığı’nı taklit eden ve daha sonra şüpheli olmayan kullanıcıları ülkenin PIX ödeme sistemi aracılığıyla haksız ödeme yapmaya yönlendiren benzeri alanların oluşturulmasını içeriyor.
Bu hileli alanlar, görünürlüklerini artırmak için Arama Motoru Optimizasyonu (SEO) zehirlenme teknikleri kullanılarak yapay olarak güçlendirilir, böylece saldırının başarı olasılığını artırır.
“Kaynak kodu analizi, geliştiricilere rehberlik eden aşırı açıklayıcı yorumlar, tipik olarak otantik bir web sitesinde çalışacak fonksiyonel olmayan unsurlar ve tehdit aktörleri tarafından kullanılan geleneksel kimlik çekişlerinden farklı olan TailWindcss stilleri gibi aşırı açıklayıcı yorumlar gibi üretken AI araçlarının imzalarını ortaya koyuyor.”
Saldırıların nihai amacı, Cadastro de Pessoas Físicas (CPF) sayıları, Brezilya vergi mükellefi kimlik numaraları, konut adresleri dahil olmak üzere hassas kişisel bilgileri toplayan sahte formlara hizmet etmektir ve bunları, piyasaya sürülme veya tıbbi bir şekilde tıbbi olarak tıbbi bir şekilde tıbbi olarak tehdit eylemleri için bir kez ödeme yapmaya ikna etmektir.
Kampanyanın meşruiyetini daha da arttırmak için, kimlik avı sayfaları, kurbandan ek bilgi isteyerek, otantik web sitelerinin davranışlarını yansıtarak aşamalı veri toplama kullanacak şekilde tasarlanmıştır. Toplanan CPF numaraları, tehdit oyuncusu tarafından oluşturulan bir API aracılığıyla arka uçta da doğrulanır.
Zscaler, “Analiz sırasında tanımlanan API alanı tehdit oyuncusu tarafından kaydedildi.” Dedi. “API, CPF numarasıyla ilişkili verileri alır ve kimlik avı sayfasını CPF’ye bağlı bilgilerle otomatik olarak doldurur.”
Bununla birlikte, şirket, saldırganların veri ihlalleri aracılığıyla veya açıklanan API’leri bir kimlik doğrulama anahtarı ile halka açık bir şekilde kullanarak CPF numaralarını ve kullanıcı detaylarını almış olabileceğini ve daha sonra kimlik avı denemelerinin güvenilirliğini artırmak için kullanabileceğini belirtti.
Zscaler, “Bu kimlik avı kampanyaları şu anda kurbanlardan nispeten az miktarda para çalırken, benzer saldırılar çok daha fazla hasara neden olmak için kullanılabilir.”
Kitle Posta Kampanyası Efimer Trojan’ı kripto çalmak için dağıtır
Brezilya ayrıca, büyük bir şirketten avukatları Efimer adlı kötü niyetli bir senaryo sunmak ve kurbanın kripto para birimini çalmak için taklit eden bir Malspam kampanyasının odağı haline geldi. Rus siber güvenlik şirketi Kaspersky, Haziran 2025’te kitlesel postalama kampanyasını tespit ettiğini ve kötü amaçlı yazılımların Ekim 2024’e kadar erken yinelemesiyle ve enfekte olmuş WordPress web siteleri aracılığıyla yayıldığını söyledi.
Araştırmacılar Vladimir Gursky ve Artem Uhkov, “Bu e -postalar, alıcının alan adının gönderenin haklarını ihlal ettiğini iddia etti.” Dedi. “Bu komut dosyası, saldırganların WordPress sitelerinden ödün vererek ve diğer tekniklerin yanı sıra orada kötü amaçlı dosyaları barındırarak daha da yaymalarına yardımcı olan ek işlevler de içeriyor.”
Efimer, tehlikeye atılan WordPress siteleri ve e-posta yoluyla yayılmanın yanı sıra, Tor ağı üzerinden komut ve kontrol (C2) sunucusuyla iletişim kurarken kötü niyetli torrentleri dağıtım vektörü olarak kullanır. Ayrıca, kötü amaçlı yazılım, WordPress siteleri için parola ve gelecekteki e-posta kampanyaları için belirtilen web sitelerinden e-posta adreslerini hasat edebilen ek komut dosyalarıyla yeteneklerini genişletebilir.
“Komut dosyası etki alanları alır [from the C2 server] Web sitesi sayfalarında köprü ve e -posta adresleri bulmak için her birinden yineleme yapıyor, “dedi Kaspersky, hedef web sitelerinde iletişim formlarını doldurmak için tasarlanmış bir spam modülü olarak da hizmet verdiğini belirtti.
Kaspersky tarafından belgelenen saldırı zincirinde, e-postalar, parola korumalı başka bir arşiv içeren zip arşivleri ve açılması için şifreyi belirten bir ad içeren boş bir dosya ile donatılmıştır. İkinci zip dosyasında, başlatıldığında makineyi Efimer ile enfekte eden kötü amaçlı bir Windows komut dosyası dosyası (WSF) bulunur.
Aynı zamanda, kurban, belgenin cihazda dikkat dağınıklığı mekanizması olarak açılamayacağını belirten bir hata mesajı görüntülenir. Gerçekte, WSF komut dosyası “Controller.js” (Truva Bileşeni) ve “Controller.xml” adlı iki dosyayı kaydeder ve “Controller.xml” den çıkarılan yapılandırma kullanılarak ana bilgisayarda planlanmış bir görev oluşturur.
“Controller.js”, kripto para birimi cüzdanını değiştirmek için tasarlanmış bir Clipper kötü amaçlı yazılımdır. Kullanıcının, saldırganın kontrolü altındaki cüzdan adresi ile panoya kopyalarını adresler. Ayrıca, ekran görüntüleri yakalayabilir ve enfekte olmuş bilgisayara bir TOR proxy istemcisi yükledikten sonra TOR ağına bağlanarak C2 sunucusundan alınan ek yükleri yürütebilir.
Kaspersky ayrıca, Clipper özellikleriyle birlikte, anti-VM özellikleri ve Google Chrome gibi web tarayıcılarını ve diğerleri arasında kripto para birimi cüzdanı uzantıları için Cesur ve Cesur için Web tarayıcılarını da keşfettiğini ve C2 sunucusundaki aramanın sonuçlarını söndürdüğünü söyledi.
Kampanyanın telemetrisine dayanarak 5.015 kullanıcıyı etkilediği tahmin ediliyor ve enfeksiyonların çoğunluğu Brezilya, Hindistan, İspanya, Rusya, İtalya, Almanya, İngiltere, Kanada, Fransa ve Portekiz’de yoğunlaştı.
Araştırmacılar, “Birincil amacı kripto para cüzdanlarını çalmak ve değiştirmek olsa da, WordPress sitelerini tehlikeye atmak ve spam dağıtmak için ek komut dosyalarından da yararlanabilir.” Dedi. “Bu, tam bir kötü niyetli altyapı oluşturmasını ve yeni cihazlara yayılmasını sağlar.”
“Bu Truva’nın bir başka ilginç özelliği, hem bireysel kullanıcılar hem de kurumsal ortamlar arasında yayılma girişimidir. İlk durumda, saldırganlar Torrent dosyalarını yem olarak kullanıyor, popüler filmler indirmek için iddia ediyorlar; diğerinde, başka bir şirket tarafından kaydedilen kelimelerin veya ifadelerin yetkisiz kullanımı hakkında iddialar gönderiyorlar.”