Bilgisayar korsanları, finansal işlemlere olan güveni suiistimal etmek için silah haline getirilmiş faturaları kullanıyor ve meşru görünen ödeme taleplerinin içine kötü amaçlı yazılım veya kötü amaçlı bağlantılar yerleştiriyor.
Bu taktik, alıcıları faturayı açmaları konusunda kandırmayı amaçlayarak aşağıdakilere yol açar: –
- Potansiyel veri ihlalleri
- Finansal dolandırıcılık
- Hassas bilgilere yetkisiz erişim
Perception Point’teki siber güvenlik araştırmacıları yakın zamanda “LUMMA” kötü amaçlı yazılımı adı verilen karmaşık bir kötü amaçlı yazılım keşfetti ve analiz etti.
Perception Point’in son teknoloji korumalı alan teknolojisi, kötü amaçlı yazılımları kesinlik ve doğrulukla tanımlayıp izole edebildi, böylece sistemi potansiyel olarak zararlı kötü amaçlı yazılımlardan korudu.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
LUMMA Kötü Amaçlı Yazılım Teslimine İlişkin Fatura
Siber güvenlik analistleri, bu kampanyada kendisini finansal hizmetler şirketi olarak tanıtan saldırganın sahte fatura e-postasıyla hedefi kandırdığını tespit etti.
Kullanıcıdan “Faturayı Görüntüle ve İndir” seçeneğini tıklaması isteniyor ancak sağlanan web sitesi kullanılamıyor. Meşruiyeti korumak için, başarısız düğme tıklamasının ardından kullanıcıları yeniden yönlendiren geçerli bir web sitesi bağlantısı eklenir.
Saldırgan, sahte bir sayfa ve gerçek bir bağlantı kullanarak tespit edilmekten kaçınır. Güvenlik taramaları, hata sayfalarının ve masum URL’lerin arkasına gizlenmiş kötü amaçlı verileri gözden kaçırır.
Bağlantıya tıklamak, kötü amaçlı dosyaların otomatik olarak indirilmesini tetikleyen zararlı URL’lere yönlendirir. Saldırgan, yönlendirme barındırmak için meşru bir siteyi ihlal etti.
Bunun yanı sıra, web sitesi kodu hxxps://robertoscaia gibi tehlikeli URL’lere yönelik birden fazla yönlendirmeyi ortaya koyuyor[.]com/eco, “.exe” dosya oluşturucu aracılığıyla kötü amaçlı yazılım indiriyor.
LUMMA, C dilinde yazılmış ve Hizmet Olarak Kötü Amaçlı Yazılım aracılığıyla yayılan bir InfoStealer kötü amaçlı yazılımıdır.
Saldırıda üç süreç yer alıyor ve aşağıda bu süreçlerden bahsettik: –
- 1741[.]exe
- RegSvc’ler[.]exe
- wmpnscfg[.]exe
Özellikle “1741[.]Exe” işleminin kullanıcının geçici klasöründen çalıştırılması meşru programların bu konumu kullanmaması nedeniyle şüphe uyandırıyor.
‘RegSvcs’ işlemlerini gerçekleştirir[.]Alışılmadık klasörlerdeki exe’ ve ‘wmpnscfg.exe’, kötü amaçlı yazılımla bağlantılı şüpheli davranışlara işaret ediyor.
PID’ler 1388, 3428 ve 1388’e sahip ana işlemler karmaşıklık katarak kötü amaçlı etkinlikleri gizlemeyi amaçlamaktadır.
Giderek karmaşıklaşan tehditler, güvenlik sisteminin sürekli değerlendirilmesini gerektirmektedir.
Bu olay, gelişen siber tehditleri tespit etmek ve bunlara karşı koymak için gelişmiş önleme, sürekli izleme ve çok katmanlı bir yaklaşım ihtiyacını vurgulamaktadır.
IOC’ler
Ana nesne – 3827.exe
- md5 0563076ebdeaa2989ec50da564afa2bb
- sha1 ac14e7468619ed486bf6c3d3570bea2cee082fbc
- sha256 515ad6ad76128a8ba0f005758b6b15f2088a558c7aa761c01b312862e9c1196b
Yürütülebilir dosya bırakıldı
- sha256 C:\Users\admin\AppData\Local\Temp\Protect544cd51a.dll dfce2d4d06de6452998b3c5b2dc33eaa6db2bd37810d04e3d02dc931887cfddd
DNS istekleri
Bağlantılar
- ip 104[.]21[.]21[.]50
- ip 224[.]0[.]0[.]252
HTTP/HTTPS istekleri:
- URL hxxp://taretool[.]pw/ateş
- url hxxp://www[.]Patrickforeilly[.]başlangıç/
- url hxxps://www[.]Patrickforeilly[.]başlangıç/
- url hxxps://www[.]Robertoscaia[.]başlangıç/
- url hxxps://yakıt kurtarma[.]yani/eko/
- url hxxps://www[.]7-zip[.]org/a/7zr[.]exe
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.