Güvenlik araştırmacıları, alıcıları sistemlerine kötü amaçlı komutlar yapıştırmaya (CTRL+V) ve çalıştırmaya yönelik kandırmaya çalışan yeni bir kimlik avı kampanyasını ortaya çıkardı. Araştırmacıların “yapıştır ve çalıştır” tekniği olarak adlandırdığı yöntemle birlikte karmaşık bir saldırı zincirinden yararlanıyor.
‘Yapıştır ve Çalıştır’ Kimlik Avı Tekniği
Kampanyanın arkasındaki saldırganlar, meşru işletme veya kuruluşlardan geldikleri iddia edilen potansiyel kurbanlara e-postalar gönderiyor. AhnLab’dan araştırmacılar, bu e-postaların genellikle alıcıları ekli dosyaları açmaya ikna etmek için ücret işleme veya operasyonel talimatlar gibi konuları içerdiğini belirtti. E-postalar, aşağıdaki örneklerde olduğu gibi, amacı gizlenmiş bir dosya eki içermektedir.
Kurban HTML eklentisine tıkladığında tarayıcıda Microsoft Word belgesi gibi görünen sahte bir mesaj görüntüleniyor. Bu mesaj kullanıcıyı, belgeyi çevrimdışı yüklemesine yardımcı olduğu iddia edilen “Nasıl düzeltilir” düğmesini tıklamaya yönlendirir. Düğmeye tıkladıktan sonra, bir dizi talimat kullanıcıdan bir dizi klavye komutunu yazmasını ister; ilk olarak yazın [Win+R]Daha sonra [Ctrl+V]ve bas [Enter].
Düğme alternatif olarak kullanıcıyı Windows PowerShell terminaline manuel olarak erişmeye ve terminal penceresinde sağ tıklamaya yönlendiren farklı bir talimat seti yükleyebilir. Kurban, talimatları izleyerek yanlışlıkla terminale kötü amaçlı bir komut dosyası yapıştırır ve bu komut dosyası daha sonra kendi sisteminde çalıştırılır.
Kimlik Avı Düzeni DarkGate Kötü Amaçlı Yazılımını Yüklüyor
Şema tarafından indirilen ve yürütülen PowerShell betiği, DarkGate kötü amaçlı yazılım ailesinin bir bileşenidir. Komut dosyası çalıştırıldığında, uzak bir komut ve kontrol sunucusundan bir HTA (HTML Uygulaması) dosyası indirir ve çalıştırır.
HTA dosyası daha sonra kötü amaçlı bir AutoIt komut dosyasını (script.a3x) bağımsız değişken olarak geçirirken bir AutoIt3.exe dosyasını başlatmak için ek talimatlar yürütür. Komut dosyası, sisteme bulaşmak için DarkGate kötü amaçlı yazılımını yüklerken, aynı zamanda kötü amaçlı komutların yürütülmesini gizlemek için kullanıcının panosunu da temizliyor gibi görünüyor.
Araştırmacılar, “E-postanın alınmasından bulaşmaya kadar olan genel operasyon akışı oldukça karmaşıktır, bu da kullanıcıların tespit etmesini ve önlemesini zorlaştırır” dedi.
Kimlik Avı Kampanyasına Karşı Koruma
Araştırmacılar, e-posta alıcılarına, kimlik avı kampanyasının kurbanı olmamak için meşru kaynaklardan geliyor gibi görünseler bile istenmeyen e-postaları kullanırken dikkatli olmalarını tavsiye etti. Alıcılar, e-postayı göndereni ve içeriğini doğrulayana kadar ek dosyaları açmaktan veya bağlantılara tıklamaktan kaçınmalıdır.
Araştırmacılar, “Kullanıcıların bilinmeyen kaynaklardan gelen dosyaları, özellikle de URL’leri ve e-posta eklerini kullanırken daha dikkatli olmaları gerektiğini” vurguladı.
Ayrıca, saldırganların sistemleri tehlikeye atmak için kullandığı yaygın bir taktik olduğundan, alıcıların kendilerinden komut yürütmelerini isteyen mesajlara karşı da dikkatli olmaları gerekir. Bu tür talepler alındığında e-postayı dikkate almamanız veya kuruluşunuzun BT güvenlik ekibine bildirmeniz önerilir.
Araştırmacılar ayrıca Base64 kodlu PowerShell komutları, HTA dosyaları ve Autoit komut dosyaları, indirme URL’leri, dosya imzaları ve kampanyayla ilişkili davranışsal göstergeler gibi çeşitli güvenlik ihlali göstergelerini (IOC’ler) paylaştı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.