Brezilya’yı hedef alan yeni bir hedef odaklı kimlik avı kampanyasının, güvenlik korkuluklarını aşmak için gizlenmiş JavaScript’i kullanarak Astaroth (diğer adıyla Guildma) adlı bir bankacılık kötü amaçlı yazılımını yaydığı tespit edildi.
Trend Micro yeni bir analizde, “Hedef odaklı kimlik avı kampanyasının etkisi çeşitli sektörleri hedef aldı; en çok etkilenenler imalat şirketleri, perakende firmaları ve devlet kurumları oldu.” dedi.
“Kötü amaçlı e-postalar, kullanıcıları kötü amaçlı yazılımı indirmeleri için kandırmak amacıyla kişisel gelir vergisi beyannamelerinin aciliyetini kullanarak genellikle resmi vergi belgelerini taklit ediyor.”
Siber güvenlik şirketi, Water Makara adı altındaki tehdit faaliyet kümesini takip ediyor. Google’ın Tehdit Analiz Grubu’nun (TAG), PINEAPPLE adını Brezilyalı kullanıcılara aynı kötü amaçlı yazılımı dağıtan benzer bir izinsiz giriş grubuna atadığını belirtmekte fayda var.
Her iki kampanya da, Receita Federal gibi resmi kuruluşların kimliğine bürünen kimlik avı mesajlarıyla başlamaları ve alıcıları, gelir vergisi belgeleri gibi görünen bir ZIP arşivi ekini indirmeleri için kandırmayı amaçlamaları açısından ortak bir noktaya sahiptir.
Zararlı ZIP dosyasında, HTML Uygulama dosyalarını çalıştırmak, gizlenmiş JavaScript komutlarını yürütmek ve bir komut ve kontrol (C2) sunucusuna bağlantılar kurmak için kullanılan meşru bir yardımcı program olan mshta.exe’yi kötüye kullanan bir Windows kısayolu (LNK) bulunmaktadır.
Araştırmacılar, “Astaroth eski bir bankacılık truva atı gibi görünse de, yeniden ortaya çıkışı ve devam eden evrimi onu kalıcı bir tehdit haline getiriyor” dedi.
“Çalınan verilerin ötesinde etkisi, tüketici güvenine uzun vadeli zararlar, düzenleyici cezalar ve iş kesintisi ve kesintilerin yanı sıra kurtarma ve iyileştirme nedeniyle artan maliyetlere kadar uzanıyor.”
Bu tür saldırıların oluşturduğu riski azaltmak için güçlü parola politikalarının uygulanması, çok faktörlü kimlik doğrulamanın (MFA) kullanılması, güvenlik çözümlerinin ve yazılımın güncel tutulması ve en az ayrıcalık ilkesinin (PoLP) uygulanması önerilir.