Bilinmeyen bir tehdit aktörü, sahte e-postalar ve sahte PDF dosya adları kullanarak bir kimlik avı kampanyası yoluyla Tayvan’daki Facebook işletmelerini ve reklam hesabı kullanıcılarını hedefliyor.
Bu kopyalar, bir şirketin hukuk ekibini taklit etmek ve kurbanı sahte ayrıntılarıyla kandırıp, onları kötü amaçlı yazılım indirip çalıştırmaya ikna etmek için tasarlandı.
Ayrıca kötü niyetli kişiler, tanınmış bir endüstriyel motor üreticisinden ve Tayvan’daki ünlü bir çevrimiçi mağazadan, işletmenin telif hakkı ihlali yaptığını iddia eden kimlik avı e-postaları gönderdi.
“E-postalar, hak ihlalinde bulunan içeriğin 24 saat içinde kaldırılmasını, yazılı izin olmadan daha fazla kullanımın durdurulmasını talep ediyor ve uyumsuzluk nedeniyle olası yasal işlem ve tazminat talepleri konusunda uyarıyor.” dedi Cisco Talos araştırmacılarıdolandırıcılık eylemlerini gözlemledi.
Tehdit aktörlerinin ayrıca antivirüs tespiti ve sanal alan analizinden kaçınmak için kabuk kodu şifreleme, kod gizleme ve LummaC2 ile Rhadamanthys bilgi hırsızlarını meşru ikili dosyalara yerleştirme gibi çeşitli teknikler ve araçlar kullandıklarını söylediler.
Lumma Hırsızı diğer verilerin yanı sıra, güvenliği ihlal edilmiş sistemlerden bilgi sızdırmak, sistem ayrıntılarını, Web tarayıcılarını ve tarayıcı uzantılarını hedeflemek için tasarlanmış bir kötü amaçlı yazılımdır.
Rhadamanthys ilk kez iki yıl önce ortaya çıkan yeraltı forumlarında satılan karmaşık bir bilgi hırsızıdır. Sistem bilgilerini, kimlik bilgilerini, kripto para cüzdanlarını, şifreleri, çerezleri ve diğer uygulamalardan verileri toplar.
Bu kimlik avı kampanyası en azından Temmuz ayından beri devam ediyor; Kampanyanın ilk vektörü, geleneksel Çince’deki tipik tuzakları kullanan bir kimlik avı e-postasında yer alan ve hedef kurbanların Çince konuşanlar olduğunu belirten bir kötü amaçlı yazılım indirme bağlantısıdır.