Bilgisayar korsanları, hedeflenen kurbanlar tarafından açıldığında yıkıcı kod çalıştırmak için bu Word dosyalarının içindeki kusurları içeren veya bu kusurlardan yararlanan makrolar içerebildiğinden, silah haline getirilmiş Word belgelerini sıklıkla kötüye kullanırlar.
Saldırganın bu aracı kullanarak hedef sisteme bir yük göndermesini veya hedeflenen sisteme yetkisiz erişim sağlamak için, hedefe Word uzantılı masum bir dosya göndererek çoğu zaman güvenlik sistemlerini atlatmasını sağlar.
Cyble’daki siber güvenlik araştırmacıları, bilgisayar korsanlarının QR kodu kimlik avı saldırılarında silahlı Word belgelerini aktif olarak kullandığını keşfetti.
QR Kod Kimlik Avı Saldırıları
QR kodu kimlik avı saldırıları son zamanlarda hızla arttı; teknolojinin her yerde bulunmasından ve kullanıcıların aşinalığından yararlanarak onları kimlik bilgileri çalan sitelere yönlendiriyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
2024’te bu tür saldırılar 2023’ün sonlarına göre %22 arttı ve %89,3’ü Anormal Güvenlik başına kimlik bilgilerinin çalınmasını hedefledi.
Tehdit aktörleri e-postalara, belgelere ve halka açık yerlere kötü amaçlı QR kodları yerleştirir ve bunları hedefleri maskelemek için kullanır.
Yakın zamanda yapılan bir kampanyada, Fortinet tarafından belgelenen Ocak 2023 olayında olduğu gibi finansal verileri toplamayı amaçlayan, kullanıcıları sahte sübvansiyonlar için kimlik doğrulamaya yönlendiren, tespit edilemeyen QR kodlarıyla Çin devlet kurumlarını taklit eden Microsoft Word belgeleri kullanıldı.
Kötü amaçlı QR kodu, kurbanları, Çin İnsan Kaynakları Bakanlığı’nın kimliğine bürünen bir kimlik avı sitesine ev sahipliği yapan, DGA tarafından oluşturulan bir alana yönlendiriyor.
Cyble raporuna göre bu alan adı, büyük kimlik avı kampanyasıyla bağlantılı diğer birkaç alt alanı (.tiozl.cn ve .zcyyl.com) barındıran IP 20.2.161.134’e çözümleniyor.
SSH ana bilgisayar anahtarı parmak izi, bu IP’yi Hong Kong’un AS8075’indeki benzer kimlik avı URL’leri taşıyan 17 diğer IP’ye bağlıyor. Açılış sayfalarında sahte işçi sübvansiyonu yemleri gösteriliyor, ardından kurbanların isimleri ve ulusal kimlikleri gibi girilen kişisel bilgiler toplanıyor.
Son olarak, kimlik avı sitesi kurbanlardan sahte doğrulama adına banka kartı numaralarını, telefon numaralarını ve bakiyelerini girmelerini ister ve bu da adları ve kimlikleri topladıktan sonra yetkisiz işlemlere olanak tanır.
Bu yükleme ekranını, yurt içi kredi kartı ödemelerinde kullanılan para çekme şifrelerinin sorulması takip etmektedir.
Saldırganlar bunun sonucunda kartın tüm detaylarıyla yetkisiz işlemler gerçekleştirebilir ve bu şifreler maddi kayıplara yol açabilir.
Başka bir deyişle, bu gelişmiş QR kodu kimlik avı dolandırıcılığı, finansal bilgileri çalmak için güvenilir teknolojiden ve hilelerden yararlanıyor ve daha fazla uyanıklık gerektiren artan tehlikeyi etkili bir şekilde vurguluyor.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- QR kodlarını yalnızca güvenilir kaynaklardan tarayın ve istenmeyen teşvik vaat eden kodlardan kaçının.
- Devam etmeden önce meşruiyet ve HTTPS taraması yaptıktan sonra URL’leri dikkatlice kontrol edin.
- Cihazlara saygın bir virüsten koruma ve kimlik avı önleme yazılımı yükleyin.
- En son kimlik avı teknikleri hakkında bilgi sahibi olun ve diğerlerini QR kodu riskleri konusunda eğitin.
- Yetkisiz erişime karşı ek güvenlik için hesaplarda 2FA kullanın.
- Yazılımı en son güvenlik yamalarıyla güncel tutun.
- URL’leri bilinen kötü amaçlı site veritabanlarına göre kontrol eden QR tarayıcı uygulamalarını düşünün.
- Banka ve kart ekstrelerini düzenli olarak inceleyin ve yetkisiz işlemleri derhal bildirin.
IOC’ler
- hxxp://wj[.]zhvsp[.]iletişim
- hxxp://ks.ozzlds[.com
- hxxp://rc[.]nggznm.cn hxxp://ry[.]ngghznm.cn
- hxxp://web[.]ioomk-1.sbs
- 2wxlrl.tiozl[.]cn
- op18bw[.]tiozl.cn
- gzha31.tiozl[.]cn
- i5xydb[.]tiozl.cn
- hzrz7c.zcyyl[.]iletişim
- web.innki-1[.]sbs
- ağ[.]oiiunm-4.sbs
- web.liooik-2[.]sbs
- ağ[.]jneuz-4.sbs
- ağ[.]yoopk-4.sbs
- ağ[.]iomil-4.cfd
- web.miiokn-4[.]sbs
- Web[.]muuikj-6.sbs
- web.ikubzn9-1[.]sbs
- dahil[.]yhuiz-5.sbs
- admin.yhuiz-4[.]sbs
- ağ[.]otuz1-2.sbs
- fmqe9’lar[.]ikknzjd.cn
- wqegi8.skqkkdm[.]cn
- nhfvhi.skqkkdm[.]cn
- k7pnec.skqkkdm[.]cn
- qerxjj[.]uehsht.cn
- vjym48.uehsht[.]cn
- y1hc3j yok.[.]cn
- ofwdfq[.]qttsgzhcn.cn
- g97hwf[.]okdmzjcm.cn
- Thrai.okdmzjcm[.]cn
- kaçmak[.]okdmzjcm.cn
- xzlky6.uhhsjzn[.]cn
- rcgali.uhhsjzn[.]cn
- azure.5atrade[.]bkz.
- ahgfus[.]pixqd.cn
- sfdncx.lppdzna[.]cn
- cjpb1j[.]lppdzna.cn
- cqy8ek.poozpd[.]cn
- fyo63q[.]wiiaks.cn
- l9qxrr.wiiaks[.]cn
- yzfpmj[.]wiiaks.cn
- zcqgtm[.]wiiaks.cn
- inwp8n.ekksjcm[.]cn
- xicfpx[.]ekksjcm.cn
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free