Eylül 2024’te Amerika Birleşik Devletleri Sosyal Güvenlik İdaresi’ni aldatan bir kimlik avı kampanyası ortaya çıktı ve ConnectWise Uzaktan Erişim Truva Atı (RAT) yükleyicisine gömülü bağlantılar içeren e-postalar gönderdi.
Güncellenmiş fayda bildirimleri gibi görünen bu e-postalar, alıcıları kandırmak için eşleşmeyen bağlantılar ve “Bildirimi Görüntüle” düğmeleri gibi çeşitli teknikler kullanıyordu.
Başlangıçta komuta ve kontrol (C2) için ConnectWise altyapısından yararlandı ancak daha sonra dinamik DNS hizmetlerine ve tehdit aktörleri tarafından barındırılan alanlara geçiş yaptı.
Gözlemlenen faaliyet Kasım ayının başından ortasına kadar önemli ölçüde arttı ve Seçim Günü civarında zirveye ulaştı, bu da siyasi iklimle potansiyel bir bağlantı olduğunu gösteriyor.
Tehdit aktörleri, bireyleri hedef alan e-posta kampanyalarında, orijinallik yanılsaması yaratmak için Sosyal Güvenlik Kurumu gibi meşru kuruluşların logoları gibi tanınabilir varlıklardan yararlanan karmaşık marka sahtekarlığı taktikleri kullanıyor.
Bu e-postalar, resmi hükümet web sayfalarını taklit eden aldatıcı bağlantılar yerleştirerek, alıcıları tıklamaları için kandırmayı amaçlamaktadır.
Bu, kötü amaçlı yazılım bulaşmasına veya veri hırsızlığına yol açabilir, bu da siber tehditlerin giderek daha karmaşık hale geldiğini ve bireyler ve kuruluşlar için sağlam siber güvenlik önlemlerinin önemini vurgular.
Aldatıcı, tek kullanımlık bir mekanizmanın kullanımı yoluyla, gömülü bağlantı, kullanıcıları bağlantıya ilk eriştiklerinde ConnectWise RAT yükleyicisine yönlendirebilir.
Ancak aynı bağlantıya daha sonra erişmeye yönelik girişimler, kullanıcıyı meşru bir Sosyal Güvenlik İdaresi web sitesine yönlendirir ve önceki ziyaretleri izlemek için tarayıcı çerezlerinin kullanılmasını önerir.
Sistem, ilk erişim sırasında bir çerez ayarlayarak ilk ve tekrarlanan denemeleri birbirinden ayırır.
Bu, kötü amaçlı yük dağıtımını kullanıcı başına tek bir örnekle etkili bir şekilde sınırlandırarak analizi daha zorlu hale getirir ve tehdidi tanımlama ve azaltma zorluğunu artırır.
Tehdit aktörleri, mağdurları kötü amaçlı bağlantılara tıklamaya ikna etmek için meşru varlıkları (örneğin, Sosyal Güvenlik Kurumu) taklit eden e-postalar hazırlarken, sosyal mühendislik tekniklerini kullanan kimlik bilgisi avı kampanyaları düzenler.
Cofense Intelligence’a göre, bu bağlantılar genellikle resmi portallar gibi görünen ve hassas kişisel bilgiler talep eden web sitelerine yönlendiriyor. Kimlik bilgileri, mali ayrıntılar ve annenin kızlık soyadı gibi güvenlik soruları dahil olmak üzere veriler, kimlik hırsızlığı ve hesap ele geçirme amacıyla toplanıyor.
Kimlik avı sayfaları ayrıca, saldırganlara kurbanın cihazı üzerinde uzaktan kontrol olanağı sağlayan Uzaktan Erişim Truva Atları (RAT’lar) gibi kötü amaçlı indirmeler de içerebilir.
Bu, tehdit aktörlerinin hesapları ele geçirmesine, fon çalmasına ve potansiyel olarak kurbanın dijital ayak izinden daha fazla yararlanmasına olanak tanır.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free