Bilgisayar korsanları, güvenlik kusurlarının teknolojik yönlerinden ziyade psikolojik yönlerine odaklandığı için sosyal mühendisliği kullanır ve sonuç olarak kullanıcıları kolayca kullanıcı adlarını ve şifrelerini vermeleri veya bir kuruluş için kötü amaçlı görevleri yürütmeleri için kandırırlar.
Tehdit aktörleri, sosyal mühendislik kullanarak, kimlik avı, bahane ve kandırma gibi yanıltıcı bilgiler ve kimliğe bürünme yoluyla onları kandırmak için güvenlik sistemlerindeki boşluklardan yararlanır.
Proofpoint’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının PowerShell’i çalıştırmak ve kötü amaçlı yazılım yüklemek için yeni sosyal mühendislikten aktif olarak yararlandığını keşfetti.
Yeni Sosyal Mühendislik Teknik
İlk erişim aracısı TA571 gibi tehdit aktörleri ve kullanıcıları sistemlerine bulaşmak için tehlikeli PowerShell komut dosyalarını kopyalayıp yapıştırmaya yönlendiren sahte bir güncelleme etkinliği kümesi tarafından sosyal mühendislikte bir artış yaşandı.
Malspam veya tarayıcı enjeksiyonları yoluyla, kullanıcılara düzeltmeleri gereken bazı hatalar olduğunu bildirerek ortaya çıkar. Sonuçta bunlar, DarkGate, Matanbuchus, NetSupport ve bilgi hırsızları gibi kötü amaçlı yazılım yüklerini ortaya çıkaran komut dosyalarını çalıştırır.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Bu teknik, TA571 tarafından Mart 2024’ten bu yana ve ClearFake kümesi tarafından bu yılın Nisan başından beri Haziran ayına kadar kullanılmaktadır.
Proofpoint’in hedeflediği ClearFake kampanyası, kullanıcıların, güvenliği ihlal edilmiş web sitelerindeki sahte tarayıcı güncelleme açılır pencerelerinden kötü amaçlı PowerShell komut dosyalarını yapıştırmaya kandırıldığı bir stratejiyi benimsedi.
Bunlar, gizlemeyi kullanan, birden fazla aşamada yürütülen ve sonuçta Lumma Stealer’ın yanı sıra kripto para birimleri veya kesme makineleri için madencilik yazılımı Amadey Loader gibi diğerlerini indiren komut dosyalarıydı.
Yalnızca yapıştırılan PowerShell betiğini çalıştırarak, bu çok aşamalı enfeksiyon zinciri en az beş farklı kötü amaçlı yazılım ailesinin benimsenmesine yol açabilir.
Kötü amaçlı yazılım bileşenlerinin tespitini zorlaştırmak için operasyon sırasında EtherHiding, ZIP çalıştırılabilir paketleme ve DOILoader gibi teknolojiler kötüye kullanıldı.
Araştırmacılar, Nisan 2024’ün ortalarında güvenliği ihlal edilmiş web sitelerinde ortaya çıkan tarayıcı güncelleme arayüzüne “ClickFix” adını verdi.
Kurbanların, sonunda Vidar Stealer adlı kötü amaçlı yazılımı dağıtan kötü amaçlı PowerShell komut dosyalarına izin vermesini sağladı. Mayıs ortasında bunun yerini ClearFake olarak bilinen benzer bir kampanya aldı.
Mart ayından bu yana TA571, sahte hata mesajlarıyla HTML tuzaklarını kullanan birden fazla kampanya yürütüyor.
Bunlar, panoya kopyalanan kötü amaçlı komut dosyalarıdır ve mağdurlardan Matanbuchus, DarkGate veya NetSupport RAT gibi şeylere bulaşmak için bunları yapıştırıp çalıştırmalarını ister.
Yaratıcı saldırı zincirleri, güvenilir uygulamalar ve kullanıcı etkileşimleri yoluyla güvenlik kontrollerini atlar.
Kuruluşların bu tür sosyal mühendislik girişimlerini fark edebilmeleri ve raporlayabilmeleri için kullanıcı eğitimini iyileştirmeleri gerekmektedir.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free