ReliaQuest Tehdit Araştırması, LinkedIn’de profesyonelleri kötü amaçlı dosyalar indirmeye yönlendiren yeni bir kimlik avı kampanyası tespit etti. Saldırganlar, DLL yandan yüklemeyi kullanarak, güvenliği atlamak için virüsleri yasal PDF okuyucuların ve Python komut dosyalarının içine gizler.
ReliaQuest’teki siber güvenlik araştırmacıları, bilgisayar korsanlarının kurumsal ağlara girme biçiminde bir değişiklik keşfetti. Araştırmacı Emily Jia tarafından hazırlanan bir raporda, saldırganların artık e-posta filtrelerini atlayıp yüksek değerli çalışanları kandırmak için doğrudan LinkedIn özel mesajlarına yöneldiği ortaya çıktı.
Truva Atlarını Dağıtmak İçin Güven Oluşturmak
ReliaQuest Tehdit Araştırma biriminin araştırmasına göre bu saldırı bilgisayar virüsüyle değil, konuşmayla başlıyor. Bilgisayar korsanları, güven duygusu oluşturmak için üst düzey rollerdeki kişilerle konuşarak zaman harcıyor. Araştırmacılar blog yazısında, hedef kendini rahat hissettiğinde, saldırganın “onları kandırarak kötü amaçlı bir WinRAR kendi kendine açılan arşivini indirmesini sağladığını, bu arşivin aslında otomatik olarak kendini açan dijital bir klasör olduğunu” açıkladı.
Bildiğimiz gibi çoğu kişi LinkedIn gibi profesyonel bir site aracılığıyla gönderilen bir dosyadan şüphelenmez. Dolandırıcılığı daha da inandırıcı kılmak için bilgisayar korsanları “Project_Execution_Plan.exe” veya “Upcoming_Products.pdRutin bir çalışma belgesi gibi görünmesini sağlamak için f”.
Ancak bu yalnızca tek bir dosya değil, gerçek, çalışan bir PDF okuyucu, gizli bir DLL (Dinamik Bağlantı Kitaplığı) dosyası, Python’un taşınabilir bir sürümü ve her şeyin meşru görünmesini sağlayan sahte bir RAR dosyası da dahil olmak üzere dört farklı dosya içeren bir pakettir.
Araştırmacılar, saldırganların, meşru bir programın aynı klasörde gizlenmiş kötü amaçlı bir dosyayı yüklemeye zorlandığı bir hile olan DLL tarafı yükleme adı verilen bir yöntem kullandığını buldu.
Bu durumda, PDF okuyucu bilgisayar korsanının kodunu çalıştırır ve bu kod daha sonra bir Python yorumlayıcısını başlatır. Python, geliştiriciler tarafından kullanılan meşru bir araç olduğundan, genellikle güvenlik yazılımlarının ötesine geçebilmektedir. Araştırmacılar, kampanyanın Uzaktan Erişim Truva Atı (RAT) yüklemek için “meşru, açık kaynaklı bir Python pen-test betiği” kullandığını ve bu sayede bilgisayar korsanına verileri çalması veya kullanıcının ekranını izlemesi için gizli bir yol sağladığını belirtti.
Yandan Yüklemeli Saldırıların Bir Modeli
Bu LinkedIn kampanyası, bilgisayar korsanlarının gerçek yazılımları manipüle ettiği daha geniş bir eğilimin parçası. Daha geçen hafta Hackread.com iki benzer tehdidi bildirdi. Bunlardan ilki, popüler bir ofis uygulaması olan PDF24’ün değiştirilmiş bir sürümü kullanılarak bir Fortune 100 şirketinin hedef alınmasının ardından Resecurity tarafından keşfedilen PDFSIDER arka kapısıydı. Neredeyse aynı zaman diliminde, Acronis’teki araştırmacılar, bilgisayar korsanlarının ABD-Venezuela gerilimi hakkındaki haberleri kullanarak hükümet gruplarını hedef alarak bir müzik çaların içine gizlenmiş LOTUSLITE kötü amaçlı yazılımını dağıttıklarını buldu.
İnsan Unsuru
Bu saldırılar başarılıdır çünkü süslü veya karmaşık kod gerektirmezler ve insan merakına ve şirketlerin kolayca engelleyemeyeceği açık kaynaklı araçların kullanımına dayanırlar. Sosyal medya platformları şu anda e-posta gelen kutularımızı koruyan ağır güvenlik filtrelerinden yoksundur ve çoğu işletme için kör bir nokta bırakmaktadır.
Uzmanlar güvende kalmak için kişinin her zaman dikkatli olması gerektiğini öne sürüyor. LinkedIn profili profesyonel görünse bile asla yalnızca çevrimiçi olarak tanıştığınız birinden dosya indirmeyin.
Sectigo Kıdemli Üyesi Jason Soroko şöyle konuştu: “Buradaki yenilik, teknik uygulamada değil, yükün iletilmesi için kullanılan sosyal mühendislik vektöründedir. Bu saldırganlar, genel e-posta kimlik avına güvenmek yerine, LinkedIn’de doğrudan mesajlaşma yoluyla yüksek değerli hedeflerle güven geliştiriyor”.
Soroko, “Bu kişiselleştirilmiş yaklaşım, kurbanı silah haline getirilmiş dosyayı indirmeye ikna etmeden önce, platformun profesyonel bağlamından yararlanarak kurbanın gardını düşürüyor. Kampanya, standart bir teknik baypas ile profesyonel ilişkilerin yüksek düzeyde hedefe yönelik manipülasyonunu birleştirerek başarılı oluyor” diye açıkladı.