Araştırmacılar, Dünya Tarım Bisikleti Yarışması’nın (WACC) katılımcılarını hedef alan karmaşık bir kimlik avı dolandırıcılığını ortaya çıkardı. Kampanya, kullanıcıları kötü amaçlı yazılım indirmeye kandırmak için resmi WACC web sitesini akıllıca taklit ediyor.
Dolandırıcılığın merkezindeki kimlik avı sitesi “wacc” adresinde barındırılıyor[.]”fotoğraf”, meşru WACC web sitesine çarpıcı bir şekilde benziyor. Dünya Tarım Bisiklet Yarışması dolandırıcılığının arkasındaki saldırgan, kullanıcıların dolandırıcılığı fark etmesini zorlaştıran yalnızca küçük ayarlamalar yaparak gerçek siteyi titizlikle kopyaladı.
Dünya Tarım Bisiklet Yarışması Dolandırıcılığı
Fransa’da her yıl düzenlenen Dünya Tarım Bisikleti Yarışması, tarım ve spor endüstrilerini birleştirmeyi hedeflediğinden, popülerliğinden yararlanmak isteyen dolandırıcıların başlıca hedefi haline geliyor.
WACC’nin Haziran ayında sona ermesinden kısa bir süre sonra, Temmuz 2024’te başlatılan Dünya Tarım Bisiklet Yarışması kimlik avı kampanyası, etkinliğin yakın zamanda sona ermesinden yararlandı. Sahte siteye bir “FOTOĞRAF” bölümü ekleyerek dolandırıcı, kullanıcıları özel etkinlik fotoğrafları vaatleriyle cezbetti. Bu taktik, etkinliği resimler aracılığıyla yeniden yaşamak isteyen paydaşları ve katılımcıları cezbetmek ve böylece başarılı kimlik avı saldırılarının olasılığını artırmak için tasarlanmıştı.
Cyble Research and Intelligence Labs’a (CRIL) göre, aldatıcı site kullanıcıları etkinlik fotoğrafları içerdiği iddia edilen bir ZIP dosyasını indirmeye ikna ediyor. Ancak, bu dosya görüntüleri tutmak yerine, görüntü dosyaları olarak gizlenmiş üç kısayol dosyasını (.lnk) gizliyor. Bu kısayollar yürütüldüğünde, bir Havoc Command and Control (C2) çerçevesinin dağıtımına yol açan karmaşık bir enfeksiyon zinciri başlatıyorlar.
Havoc C2, yürütüldüğünde gerçek Komuta ve Kontrol sunucusuna bir yönlendirici olarak kullanılan bir Azure Front Door etki alanıyla bağlantı kurmaya çalışır. Bu sunucu saldırganın daha fazla kötü amaçlı faaliyette bulunmasını kolaylaştırır. CRIL’in araştırması sırasında, C&C sunucusunun çevrimdışı olduğu bulundu ve bu da saldırının sonraki aşamalarını tam olarak analiz etme yeteneğini sınırladı.
Kimlik avı sitesi ayrıca çeşitli kötü amaçlı yazılım yüklerinin bulunduğu açık bir dizin içeriyordu; bu da saldırganın kurbanları daha iyi hedef almak için yükleri değiştiriyor olabileceğini düşündürüyor.
Bu açık dizin, Havoc C2 çerçevesinin gelişmiş yapısıyla bir araya geldiğinde, tehdit aktörünün iyi hazırlanmış ve potansiyel olarak stratejik bir yaklaşım benimsediğini gösteriyor.
Dünya Tarım Bisiklet Yarışı Dolandırıcılığının Teknik Arızası
Dünya Tarım Bisiklet Yarışması dolandırıcılığı, bir kullanıcının sahte bir siteden bir ZIP dosyası indirmesiyle başlar. Bu dosya, .jpg görüntüleri olarak gizlenmiş üç kısayol dosyası (.lnk) içerir. Bu kısayollar yürütüldüğünde, bir PowerShell betiğini çalıştırmak için conhost.exe’yi kullanır. Betik önce Microsoft Edge aracılığıyla kimlik avı sitesinden meşru JPG dosyalarını indirir ve görüntüler ve sahte bir güvenlik hissi yaratır.
Bu arada, gizlice “KB.DLL” adlı kötü amaçlı bir DLL dosyasını “AppData\Local” dizinine indirir ve kurar. Bu DLL, EnumFontsW() işlevi kullanılarak yürütülen, gizlenmiş kabuk kodu için bir yükleyici görevi görür; bu, tespitten kaçınmak için tasarlanmış bir tekniktir. Kabuk kodu, bir Komut ve Kontrol (C2) sunucusuna bağlanan gömülü bir yürütülebilir dosya içerir.
Karmaşık bir istismar sonrası aracı olan Havoc C2 çerçevesi, tehlikeye atılmış ağ içinde yanal hareket, sürekli erişimi sürdürme ve ek kötü amaçlı yazılım dağıtma gibi çeşitli kötü amaçlı faaliyetler için kullanılır. C2 sunucusu analiz sırasında çevrimdışı olmasına rağmen, Havoc kullanımı saldırganın hedeflenen ağ içinde kapsamlı ve karmaşık işlemler planladığını gösterir.
Koruma Önerileri
“Dünya Tarım Bisiklet Yarışması kimlik avı kampanyası” gibi kimlik avı dolandırıcılıklarıyla ilişkili riskleri ele almak için kuruluşlar ve bireyler birkaç temel önlem uygulamalıdır. İlk olarak, web sitesi meşruiyetini doğrulamak çok önemlidir. Kullanıcılar kimlik avı saldırılarının kurbanı olmamak için URL’leri dikkatlice incelemeli ve şüpheli bağlantılarla etkileşime girmekten kaçınmalıdır. Web sitelerinin gerçek olduğundan emin olmak, sahte siteler tarafından aldatılma olasılığını önemli ölçüde azaltabilir.
Eğitim, siber güvenlikte hayati bir rol oynar. Düzenli eğitim oturumları düzenlemek, kullanıcıların kimlik avı girişimlerini tanımasına ve güvenilmeyen kaynaklardan dosya indirmenin tehlikelerini anlamasına yardımcı olur. Web sitelerinin ve bağlantıların meşruluğunu doğrulamanın önemini vurgulamak, kullanıcıların daha güvenli çevrimiçi seçimler yapmasını sağlayabilir.
PowerShell yürütmesini kısıtlamak da önemli bir önlemdir. PowerShell yürütme politikalarını, güvenilmeyen kaynaklardan gelen betiklerin çalıştırılmasını sınırlayacak şekilde yapılandırmak, kötü amaçlı betik yürütme riskini azaltabilir. PowerShell Sınırlandırılmış Dil Modu gibi özellikleri kullanmak, zararlı betiklerin bir sistemde çalıştırılma olasılığını daha da azaltabilir. Ve bilgisayarlar yalnızca gerektiğinde yönetici modunda çalışmalıdır.
Kötü amaçlı DLL’leri ve betikleri algılamak ve engellemek için gelişmiş uç nokta koruma çözümleri olmazsa olmazdır. Antivirüs ve kötü amaçlı yazılım önleme yazılımlarını güncel tutmak ve potansiyel olarak zararlı dosyaları tarayıp tanımlamak için düzgün bir şekilde yapılandırmak önemlidir.
Ağ trafiğini izlemek de önemlidir. Ağ izleme araçlarını uygulamak, şüpheli etki alanlarına bağlantılar veya Azure Front Door gibi hizmetlerle beklenmeyen iletişimler gibi olağandışı trafik modellerini tespit etmeye yardımcı olabilir.