İçerik oluşturucular ve markalar arasındaki güveni istismar eden kötü niyetli işbirliği talepleri yoluyla YouTube içerik oluşturucularını hedef alan yeni bir siber saldırı dalgası ortaya çıktı.
Siber güvenlik uzmanları, bu kampanyaların, kötü amaçlı yazılım dağıtmak için güvenilir markaların kimliğine bürünen son derece stratejik kimlik avı çabaları olduğunu tespit etti.
Saldırganlar, profesyonel markalama, gelişmiş dil ve marka sponsorlukları veya promosyon anlaşmaları gibi cazip teklifler içeren özel e-postalar kullanır.
Bu e-postalarda mağdurlara, sözleşme veya tanıtım malzemeleri içerdiği iddia edilen dosyaları indirme bağlantıları gönderiliyor.
Ancak bu dosyalar, konuşlandırıldıktan sonra oturum açma kimlik bilgileri, finansal bilgiler ve hatta fikri mülkiyet dahil olmak üzere hassas verileri çalabilecek kötü amaçlı yazılımlarla silahlandırılmıştır.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide
Siber suçluların stratejisi, görünüşte meşru ancak sahte hesaplardan kimlik avı e-postaları göndermeyi içeriyor.
Bu e-postalar, şüpheyi azaltmak için tasarlanmış talimatların yer aldığı, OneDrive gibi bulut hizmetleri aracılığıyla barındırılan şifre korumalı ekler içerir. Kurbanlar, dosyayı indirip çıkardıktan sonra farkında olmadan sistemlerini tehlikeye atan kötü amaçlı yazılım çalıştırıyor.
Bu kötü amaçlı yazılım yalnızca hassas bilgileri çıkarmakla kalmıyor, aynı zamanda saldırganlara cihaza tam uzaktan erişim olanağı sağlayarak olası sonuçları artırıyor.
Kötü Amaçlı Yazılım Davranışı ve Teknikleri
Cloudsek raporlarına göre, bu kampanyalarda dağıtılan kötü amaçlı yazılımlar oldukça karmaşıktır ve antivirüs araçlarının tespitinden kaçınmak için birden fazla sıkıştırma ve gizleme katmanı kullanmaktadır.
Saldırıya ilişkin araştırmalar, saldırının, hassas kullanıcı verilerini hedef aldığı bilinen kötü şöhretli bir kötü amaçlı yazılım olan “Lumma Stealer” ile bağlantılı olduğunu ortaya çıkardı.
Bu kampanyada, kötü amaçlı veri genellikle “Sözleşmeler ve Sözleşme Arşivi” gibi meşru görünecek şekilde adlandırılan sıkıştırılmış arşivlere yerleştirilir.
Bu dosyaların çıkarılması, açıldıktan sonra kötü amaçlı yazılımı dağıtan, zararsız anlaşmalar olarak maskelenen yürütülebilir dosyaları ortaya çıkarır.
Kötü amaçlı yazılımın teknik analizi onun gelişmiş yeteneklerini ortaya çıkarır. Genellikle kripto para birimi cüzdan adreslerini çalmak için kullanılan bir teknik olan pano verilerini işlemek için işlevler kullanır.
Ek olarak, kötü amaçlı yazılım, saldırganların seçtiği meşru bir komut dosyası oluşturma ortamı olan AutoIt aracılığıyla otomatik komut dosyaları kullanır. Bu komut dosyaları, kötü amaçlı yazılımın sessizce çalışmasına, kritik sistem dosyalarını değiştirmesine ve kurbanın cihazında kalıcılık sağlamasına yardımcı olur.
Komuta ve kontrol sunucularıyla iletişim, tarayıcı kimlik bilgileri, çerezler ve gizli kullanıcı bilgileri dahil olmak üzere çalınan verilerin sürekli olarak dışarı sızmasını sağlar.
Bu kampanya, YouTube içerik oluşturucuları ve influencer ve pazarlama sektörlerindeki profesyoneller için bir uyandırma çağrısı görevi görüyor. Uzmanlar bu tür saldırılara karşı korunmak için sıkı siber güvenlik uygulamalarına bağlı kalınmasını öneriyor.
İçerik oluşturucular, istenmeyen işbirliği taleplerini markalarla doğrudan resmi kanallar aracılığıyla iletişime geçerek doğrulamalıdır.
Şüpheli URL’lerden veya parola korumalı arşivlerden kaçınılmalı ve kullanıcılar güçlü bir antivirüs koruması sağlamalı ve tüm kritik hesaplarda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmelidir.
Ekipleri eğitmek ve kimlik avı kampanyalarının gelişen taktikleri hakkında bilgi sahibi olmak da aynı derecede önemlidir. Siber güvenlik eğitimi ve farkındalık programları gibi kaynaklar, içerik oluşturucuların ve işletmelerin şüpheli istekleri tespit edip bunlardan kaçınmasına yardımcı olabilir.
Proaktif önlemler yalnızca bireysel hesapları korumakla kalmaz, aynı zamanda yaratıcının markasına ve topluluğuna gelebilecek daha geniş çaplı zarar riskini de en aza indirir.
Saldırganlar insanların güvenini ve teknolojik zayıflıkları istismar etmek için yöntemlerini geliştirmeye devam ederken, büyüyen bu tehdit, dikkatli olunması gerektiğinin altını çiziyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin