Bilgisayar korsanları İsrailli kuruluşları hedef alan kimlik avı saldırılarında ESET’i taklit ediyor. ESET’ten geldiğini iddia eden kötü amaçlı e-postalar, temizleme amaçlı kötü amaçlı yazılımlar yayar. Güvenlik araştırmacısı Kevin Beaumont saldırıyı açığa çıkarır. ESET doğrudan uzlaşmayı reddediyor ve iş ortaklarının katılımına işaret ediyor.
Yakın zamanda gerçekleşen bir siber saldırıda bilgisayar korsanları, siber güvenlik firması ESET’in kimliğine bürünerek İsrail kuruluşlarını hedef aldı. Saldırganlar, Slovak merkezli ESET’i taklit eden kimlik avı e-postaları göndererek alıcıları, cihazlarını hedef alan devlet destekli bilgisayar korsanları konusunda uyardı.
E-postalar, saldırıya karşı koyduğu iddia edilen, var olmayan bir “ESET Unleashed programını” indirmek için bir bağlantı içeriyordu. Bağlantıya tıklandığında aşağıdakileri içeren bir ZIP dosyası indirilir: silecek kötü amaçlı yazılımıvirüs bulaşmış cihazdaki verileri silmek için tasarlanmıştır.
Güvenlik araştırmacısı Kevin Beaumont, bilgisayar korsanlarının ESET’in savunmasını başarıyla aştığını ve sunucularında kötü amaçlı dosyalar barındırdığını belirterek alarmı yükseltti. E-postalar Google tarafından tehlikeli olarak işaretlendi ancak birçok alıcı bu aldatmacanın kurbanı olmuş olabilir.
ESET Advanced Threat Defense Team stilindeki e-posta ve ESET Unleashed stilindeki indirmeler, çeşitli ESET DLL dosyalarını ve setup.exe adlı bir dosyayı içerir ve İsrail-www.oref.org.il adresindeki meşru bir kuruluşa çağrı yapar. Bir kurban ZIP dosyasını açarsa ve kötü amaçlı yazılımı çalıştırırsa, cihazdaki dosyaları ve verileri silmeye devam edecektir. Ancak kötü amaçlı yazılımın, yıkıcı yeteneklerini etkinleştirmek için fiziksel bir bilgisayara ve zamana ihtiyacı vardı.
Beaumont, “ESET İsrail kesinlikle ele geçirildi, bu şey, herhangi bir nedenle İsrailli bir haber kuruluşu sunucusuyla konuşan sahte bir fidye yazılımıdır” diye yazdı. blog yazısı.
ESET olaya, İsrail’deki ortak şirketleri Comsecure’da bir güvenlik olayının meydana geldiğini kabul ederek, kendi altyapılarının tehlikeye atıldığını inkar ederek yanıt verdi. Resmi ifade ESET’ten X’te (Twitter) şunu okuyun:
“Geçen hafta İsrail’deki ortak şirketimizi etkileyen bir güvenlik olayının farkındayız. İlk araştırmamıza göre, sınırlı sayıda kötü amaçlı bir e-posta kampanyası on dakika içinde engellendi. ESET teknolojisi tehdidi engelliyor ve müşterilerimiz güvende. ESET’in güvenliği ihlal edilmedi ve daha fazla araştırma yapmak için ortağıyla yakın işbirliği içinde çalışıyor ve durumu izlemeye devam ediyoruz.”
Kimlik avı kampanyasının özellikle İsrail kuruluşlarındaki siber güvenlik personelini hedef alması, saldırganların ülkenin dijital savunmasını bozmayı amaçladıklarını gösteriyor. E-postalar, Hamas’ın ve diğer Filistinli militan grupların İsrail’e silahlı saldırılarının yıldönümünün ertesi günü, 8 Ekim’de gönderildi. Bir kullanıcı ESET Güvenlik Forumu şüpheli e-postayı hemen fark etti ve bildirdi.
Saldırganlar, büyük olasılıkla bir güvenlik açığı veya sosyal mühendislik teknikleri yoluyla Comsecure’un altyapısına erişim sağladı. Daha sonra ESET’in resmi tarzına ve markasına çok benzeyen, dikkatle tasarlanmış kimlik avı e-postaları hazırladılar.
Kampanyanın arkasındaki spesifik tehdit aktörünün kim olduğu belirsizliğini koruyor. Ancak kullanılan taktikler, askerlerin kullandığı taktiklerle aynıdır. Filistin yanlısı grup Handalason zamanlarda hedeflenmiş Silecek kötü amaçlı yazılımları ve diğer siber saldırıları olan İsrailli kuruluşlar. Siber güvenlik firması Trellix, Handala’nın saldırılarını karmaşık olarak nitelendirdi ve İran’la olası bağlantılar önerdi.
ESET’in kimliğe bürünme kampanyası şu anda engellendi ancak devam eden kimlik avı saldırıları tehdidini vurguluyor ve ESET’in iş ortağı altyapısının güvenliği ve gelecekteki saldırı potansiyeli hakkındaki endişeleri artırıyor. Benzer saldırıları önlemek için kuruluşların mesajların orijinalliğini doğrulamaya öncelik vermesi ve gelişmiş güvenlik önlemleri alması gerekiyor.
İLGİLİ KONULAR
- İranlı Hackerlar Hedefli LinkedIn Kimlik Avı Saldırısında İsrailli Gibi Göründü
- Kimlik Avı Dolandırıcılıklarında En Çok Facebook, Meta, Apple ve Amazon Taklit Ediliyor
- UpdateAgent kötü amaçlı yazılım çeşidi yasal macOS yazılımının kimliğine bürünüyor
- Bilgisayar Korsanları Rus Siber Güvenlik Firması Dr.Web’de 10 TB Veri İhlali İddiasında Bulundu
- Kötü Amaçlı Yazılım ve Kimlik Avı Dolandırıcılığı Aracılığıyla Taklit Edilen İnternet Suçları Şikayet Merkezi