Amerika Birleşik Devletleri 15 Nisan’da Vergi Günü’ne yaklaştıkça, siber güvenlik uzmanları, şüpheli olmayan kullanıcıları kullanmak için vergi ile ilgili temalardan yararlanan bir dizi sofistike kimlik avı kampanyasını ortaya çıkardılar.
Microsoft, bu kampanyaları, URL kısaltma makineleri ve kaçınma tespiti için kötü niyetli eklere gömülü QR kodları gibi gelişmiş yeniden yönlendirme teknikleri kullanımı olarak tanımlamıştır.
Saldırganlar, dosya barındırma platformları ve iş profili sayfaları gibi meşru hizmetleri kötüye kullanarak kötü amaçlı yazılım sunmayı ve hassas kimlik bilgilerini çalmayı amaçlamaktadır.
Kimlik avı saldırıları Raccoono365 Hizmet Olarak Kimlik Avı (PHAAS) platformunun yanı sıra Remcos, Latrodectus, Bruteratel C4 (BRC4), AhkBot ve Guloader gibi kötü amaçlı yazılım aileleri ile bağlantılıdır.
Bu araçlar, saldırganların yetkisiz erişim kazanmasını, yükleri dağıtmasını ve daha fazla kötü amaçlı faaliyetler gerçekleştirmesini sağlar.


Vergi temalı e-postalar yoluyla teslim edilen kötü amaçlı yazılım
Microsoft, vergi ile ilgili korkuları ve kullanıcıları aldatma yükümlülüklerini kullanan birkaç kampanyayı gözlemledi.
Tehdit oyuncusu Storm-0249’a atfedilen bir kampanya, IRS dosyalarıyla ilgili sorunları iddia eden e-postalarla binlerce kullanıcıyı hedef aldı.
Bu e -postalar, sahte docuSign sayfalarına yeniden markalı kısaltılmış bağlantılar aracılığıyla kullanıcıları yeniden yönlendiren gömülü Doubleclick URL’lerine sahip PDF ekleri içeriyordu.
Kullanıcılar bu sayfalarla etkileşime girdiyse, kötü amaçlı yazılım yüklemesine yol açan kötü amaçlı JavaScript dosyaları veya filtreleme kurallarına dayanan iyi huylu tuzak dosyaları sunuldu.
Başka bir kampanya, 12 ve 28 Şubat 2025 arasında 2.300’den fazla kuruluşa gönderilen PDF eklerine gömülü QR kodlarını kullandı.
QR kodları, alıcıları kimlik bilgilerini çalmak için tasarlanmış Microsoft 365 oturum açma portallarını taklit eden kimlik avı sayfalarına yönlendirdi.
Bu e -postalar, saldırıya güvenilirlik ekleyerek “Çalışan Vergi Geri Ödeme Raporu” ve “Vergi Stratejisi Güncelleme Kampanya Hedefleri” gibi ekran adları altında gizlendi.
Gelişmiş kötü amaçlı yazılım teknikleri sömürüldü
Bu kampanyalarda kullanılan kötü amaçlı yazılımlar gelişmiş yetenekleri göstermektedir:
- Latrodectus: Dinamik komut ve kontrol (C2) konfigürasyonları ve anti-analiz özelliklerine sahip bir yükleyici. En son sürümü, planlanan görevler gibi kalıcılık mekanizmaları ekler ve saldırganların Windows komutlarını uzaktan yürütmesine izin verir.
- Bruteratel C4 (BRC4): Başlangıçta kırmızı takımlama egzersizleri için tasarlanan bu çerçeve, güvenlik savunmalarını atlamak da dahil olmak üzere, atama sonrası faaliyetler için saldırganlar tarafından kullanılmaktadır.
- Ahkbot: Kötü niyetli excel dosyaları içeren IRS temalı kimlik avı e-postaları aracılığıyla teslim edilir. Makrolar etkinleştirildikten sonra, bu kötü amaçlı yazılım ekran görüntülerini yakalayabilen ve komutları yürütebilen komut dosyalarını indirir.
- Guloader: Remcos gibi yükler sağlamak için şifreli kabuk kodu ve anti-analiz teknikleri kullanan son derece kaçınılmaz bir indirici, uzlaşmış sistemler üzerinde tam kontrol sağlayan bir uzaktan erişim Truva atı.
Hedeflenen bir kampanyada, ABD’deki CPA’lara ve muhasebecilere odaklanan hackerlar, kötü niyetli PDF’ler vermeden önce ilişki kurma taktikleri istihdam ediyorlar.
Bu PDF’ler, Dropbox’ta barındırılan ZIP dosyalarına yol açan URL’ler içeriyordu. Açıldıktan sonra, dosyalar Guloader ve Remcos kötü amaçlı yazılımları yükleyen PowerShell komut dosyalarını yürüttü.


Bu tehditlerle mücadele etmek için Microsoft, kuruluşların sağlam güvenlik önlemleri uygulamasını önerir:
- Kullanıcı eğitimi: Çalışanları kimlik avı girişimlerini belirlemek ve şüpheli bağlantılar veya eklerle etkileşim kurmaktan kaçınmak için eğitin.
- Çok faktörlü kimlik doğrulama (MFA): Yetkisiz erişim risklerini en aza indirmek için tüm hesaplar arasında MFA’yı uygulayın.
- Gelişmiş Güvenlik Çözümleri: Gerçek zamanlı e-posta taraması ve URL doğrulaması için Office 365 için Microsoft Defender gibi araçları kullanın.
- Uç nokta koruması: Gelişen tehditlere karşı kapsamlı savunma için blok modunda bulutla teslim edilen antivirüs korumasını ve uç nokta algılama yanıtını (EDR) etkinleştirin.
Siber suçlular, meşru hizmetler ve gelişmiş kötü amaçlı yazılım çerçeveleri kullanarak yöntemlerini hassaslaştırmaya devam ettikçe, bu kampanyalar vergi sezonunda uyanıklığın önemini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!