Bilgisayar korsanları, güvenlik önlemlerini atlatmak ve özel iletişimlere erişmek için sıklıkla Güvenli E-posta Ağ Geçitlerine (SEG) saldırır.
SEG’lere saldırdıklarında e-postaları gizlice inceleyebilir, değiştirebilir veya hatta kötü amaçlı yazılım yayacak ve ilgili kuruluşlardan hassas bilgileri çalacak bir kimlik avı planı bile başlatabilirler.
Cofense’deki siber güvenlik araştırmacıları, yakın zamanda bilgisayar korsanlarının gelişmiş kötü amaçlı yazılım saldırılarıyla SEG’lere aktif olarak saldırdıklarını ve bunları atlattıklarını keşfetti.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Teknik Analiz
Güvenli E-posta Ağ Geçitleri (SEG’ler), tehdit aktörlerinin bozuk .zip arşivleri göndererek aktif olarak istismar ettiği bir güvenlik açığına sahiptir.
Bu arşivler, SEG taramalarından gelen zararlı içeriğin gizlenmesini sağlayan .Mpeg uzantılı HTML dosyaları içerir.
.webp)
Gerçek HTML’nin gizli yapısının ortaya çıktığı Outlook veya Windows Explorer’da, FormBook gibi gömülü kötü amaçlı yazılımların çalıştırılması mümkün hale geliyor.
Bu yöntem, Cisco’nun IronPort sisteminde ve e-posta filtreleme sisteminde büyük bir kusur gösteren benzer ürünlerde tespit edilememiştir.
Bilgisayar korsanları, uluslararası finans şirketlerinde İspanyolca konuşan çalışanlar için özel olarak hazırlanmış kimlik avı e-postaları yaydılar. Bu saldırı, sahte faturaların eklendiği dikkatlice hazırlanmış kimlik avı e-postaları kullanarak büyük uluslararası bankalarda çalışan İspanya’daki çalışanları hedef alıyor.
Download Free Cybersecurity Planning Checklist 2024 (PDF) – Download Here
7zip ve PowerISO dosyayı .mpg olarak tanırken (ancak açıldığında oynatamıyor), bunun yanında SEG’ler ve Windows’un yerleşik araçları dosyayı HTML olarak algılıyor.
Sonuç olarak, çeşitli sistemler arasındaki dosya ayrıştırmasındaki bu tutarsızlık, tespit edilemeyen kötü amaçlı yazılımların potansiyel kurbanlara ulaşmasına olanak tanır. Kötü amaçlı .zip arşivi bu tutarsızlıkları istismar eder.
SEG’ler ve Power ISO ve 7zip gibi tipik arşiv yazılımları içeriği .Mpeg dosyası olarak tanımlayabilirken, Windows Gezgini ve Outlook bunu HTML olarak doğru bir şekilde tanır.
.webp)
Bu durumda, arşivin işlenmiş başlık ve altbilgi bilgileri bu farklılığa neden olur. Başlık, bunun bir .Mpeg dosyası olduğunu gösterirken, altbilgi gerçek HTML doğasını ifşa eder.
Raporda, bu yöntemin kötü amaçlı yazılımların hem SEG denetimi hem de rastgele görüntüleme sırasında tespit edilememesine olanak tanıdığı ve bunun sonucunda e-posta filtreleri aracılığıyla dosyaların ayrıştırılmasında önemli güvenlik riskleri ortaya çıkardığı belirtiliyor.
HTML dosyası açıldığında, .cmd dosyası taşıyan başka bir .zip arşivi ortaya çıkar, bu da .cab klasörüdür.
Bu, FormBook kötü amaçlı yazılımının bellek alanına indirilip çalıştırılabilen bir DBat Loader yürütülebilir dosyasını içerir.
FormBook’un bu özel çeşidi farklı çağrılar yapar C2 sunucuları Standart versiyonlara göre birden fazla yolu vardır.
En iyi 10 bilgi hırsızı arasında, tuş kaydedici, Dosya Yöneticisi, Pano Yöneticisi, Ekran Görüntüsü Yakalayıcı, Ağ Trafik Analizcisi ve Tarayıcı Verisi hırsızı olarak da kullanılabilen FormBook yer alır. Ayrıca fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımları indirip başlatabilir.
Download Free Cybersecurity Planning Checklist 2024 (PDF) – Download Here