Bilgisayar korsanları, bir web sitesinin potansiyel olarak kötü amaçlı olup olmadığını belirleyen ve kullanıcıları zararlı virüsleri indirmekten koruyan bulut tabanlı bir kimlik avı ve kötü amaçlı yazılım önleme bileşeni olan Microsoft SmartScreen’e saldırıyor.
SmartScreen’deki güvenlik açıklarından yararlanan bilgisayar korsanları, Windows Defender’ı aşabilir ve kötü amaçlı yazılımları kullanıcıların cihazlarına yayabilirler.
Cyble’daki siber güvenlik araştırmacıları, bilgisayar korsanlarının Microsoft SmartScreen güvenlik açığını aktif olarak kullanarak kötü amaçlı yazılımlar dağıttığını keşfetti.
Microsoft SmartScreen Güvenlik Açığı
Ocak 2024’te Cyble’ın Zero Day Girişimi, sahte yazılım yükleyicileri aracılığıyla CVE-2024-21412’yi istismar eden bir DarkGate kampanyasını keşfetti.
Microsoft, 13 Şubat’ta bu güvenlik açığını düzeltti ancak Water Hydra ve diğer gruplar, SmartScreen’i internet kısayollarıyla aşarak DarkMe RAT da dahil olmak üzere kötü amaçlı yazılımları dağıtmak için bu açığı kullanmaya devam etti.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
WebDAV paylaşımlarında barındırılan internet kısayollarına yönelik kötü amaçlı bağlantılar genellikle spam e-posta yoluyla dağıtılır.
Bu kısayollar çalıştırıldığında SmartScreen adımı atlanır ve PowerShell ile JavaScript betiklerini kullanan çok adımlı bir saldırı başlatılır.
Son olarak kampanya, Lumma ve Meduza Stealer gibi bilgi çalan kötü amaçlı yazılımları yükleyerek tehdit aktörlerinin yakın zamanda kapatılan güvenlik açıklarından yararlanma yaklaşımlarında nasıl bir evrim geçirdiğini gösteriyor.
.webp)
Tehdit aktörü, sahte İspanyol vergi belgeleri, ABD Ulaştırma Bakanlığı e-postaları ve Avustralya Medicare formları gibi yemleri kullanarak dünya çapında bireyleri ve kuruluşları hedef alıyor.
.webp)
Microsoft Defender SmartScreen’i atlatmak için CVE-2024-21412’yi kullanan çok kurnazca bir teknolojik saldırıdır.
Saldırganlar, WebDAV’da barındırılan bir internet kısayoluna yönlendiren kötü amaçlı bir bağlantı içeren kimlik avı e-postaları gönderebilir.
Saldırı zinciri birden fazla adımdan oluşuyor; sonuncusu, iyi huylu yürütülebilir dosyalara gömülü JavaScript’i, meşru Windows yardımcı programlarını kullanarak ve bunları kötü amaçlı LNK dosyası amaçları için zehirleyerek içeriyor.
Burada, PowerShell betikleri ek yükleri şifresini çözüp yürütüyor, kötü amaçlı yazılımlar yüklüyor ve kurbanın makinesinde sahte bir belge görüntülüyor.
Bu kampanyada kullanılan yöntemlerden bazıları, Lumma ve Meduza Stealer zararlı yazılımlarını dağıtmak için DLL yan yükleme ve IDAT yükleyici istismarını içermektedir.
Yük daha sonra explorer.exe’ye enjekte edilir. CVE-2024-21412’nin artan kullanımı, bu tür ayrıntılı yaklaşımlarla birleştiğinde, çok hızlı bir şekilde dönüşen bir siber tehdit ortamını doğrular.
Bu gelişme, Kötü Amaçlı Yazılım Hizmeti tekliflerinin kullanılabilirliği nedeniyle hızlandırılabilir ve dolayısıyla bu yollardan kaynaklanan yeni tehditlere karşı proaktif güvenlik önlemlerine ve sürekli değişikliklere yönelik acil ihtiyacın altını çizer.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- E-postaları ve bağlantıları doğrulayın
- Gelişmiş e-posta filtrelemesini kullanın
- Şüpheli bağlantılardan kaçının
- Yazılımı güncel tutun
- Forfiles yardımcı programını izleyin
- Komut dosyası dillerini sınırla
- Uygulama beyaz listesini uygulayın
- Ağınızı bölümlere ayırın
IoC’ler
.webp)
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo