Windows kullanıcılarını hedefleyen kritik bir kimlik avı kampanyası FortiGuard Labs tarafından ortaya çıkarıldı ve Microsoft Office’in eski sürümlerinde uzun süredir devam eden bir güvenlik açığından yararlanmak için kötü niyetli Excel eklerinden yararlandı.
Bu sofistike saldırı, oturum açma kimlik bilgileri, tuş vuruşları ve pano bilgileri gibi hassas verileri toplamak için tasarlanmış kötü şöhretli bir bilgi çalan kötü amaçlı yazılım olan Formbook dağıtır.
Kimlik avı kampanyası eski Microsoft Office’ten yararlanır
2025 Global Tehdit Peyzaj Raporunda ayrıntılı olarak açıklanan kampanya, alıcıları ekli Excel dosyasını açmaya çağırarak satış siparişleri olarak poz veren aldatıcı e -postalarla başlıyor.
.png
)
Fortiguard Labs raporuna göre, FortiMail tarafından virüs içerdiği için işaretlenen bu e-postalar, 2007/2010/2013/2013/2013/2016’da, yamaların mevcut olduğu, ancak güncel sistemler veya iyileştirme zorlukları nedeniyle tutarsız bir şekilde uygulandığı sekiz yaşındaki bir mantık kırılganlığı olan bu e-postalar.
Saldırı, titizlikle düzenlenmiş çok aşamalı bir süreçle ortaya çıkıyor. Kötü niyetli Excel dosyasını savunmasız bir ofis ortamında açtıktan sonra, istismar, bir HTTP isteğini uzak bir sunucuya tetikler ve bir kötü amaçlı HTA (HTML uygulama) dosyasını yeniden yönlendirilmiş bir URL (//agr.my/p6bjnr) aracılığıyla alır.
Base64 kodlu içerik içeren bu dosya, yürütme için % AppData % dizinine ek yükler indirir.
Çok aşamalı saldırı, form kitabı yükü sunar
Daha fazla analiz, belirli bayt dizileri ile tanımlanan otomatik komut dosyaları kullanılarak derlenen biçimlendirilmemiş kaynak verileri içeren “sihost.exe” adlı bir dosyanın dağıtımını ortaya koymaktadır.
Bu dosya, analizden kaçmak için IsdebuggerPresent API gibi anti-tahrip taktiklerini kullanır, “komut dosyası” adı verilen bir kaynağı çözer ve % sıcaklık % dizinine “Springmaker” başka bir dosya olan “Springmaker” çıkarır.
“Springmaker” ı, “3NQXSHDTVT2DPK06” anahtarı ile bir XOR işlemi kullanarak kodladıktan sonra, temel yük form kitabı kötü amaçlı yazılımları serbest bırakarak kurbanların cihazlarının kontrolünü ele geçirerek ve hassas bilgileri çıkararak ciddi bir tehdit oluşturur.
Fortinet’in Fortiguard’ın Antispam, Web Filtreleme, IP’leri ve antivirüs hizmetleri de dahil olmak üzere koruyucu önlemleri, ilişkili URL’leri zaten kötü niyetli olarak işaretlemiştir ve “W32/formbook.aa! Tr” gibi “W32/formbook.aa! Tr” gibi imzalarla istismarları tespit etmişlerdir.
Bu kampanya, örgütsel ihmal veya yama işlemindeki teknik kısıtlamalar nedeniyle sömürülmeye devam eden CVE-2017-0199 gibi miras güvenlik açıklarının kalıcı tehlikesinin altını çizmektedir.
Windows kullanıcılarına yazılımlarını güncellemeleri, yamaları özenle uygulamaları ve istenmeyen e -posta eklerine karşı uyanık kalmaları şiddetle tavsiye edilir.
Daha derin içgörüler için Fortinet, NSE 1 kimlik avı bilinci konusunda eğitimi gibi kaynaklar sunar ve bir ihlalden şüphelenilirse küresel FortiGuard olay müdahale ekibiyle iletişim kurmayı teşvik eder.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| Url | hxxp: //172.245.123.32/xampp/hh/wef.hta |
| Url | Hxxp: //172.245.123.32/199/sihost.exe |
| SHA-256 (Aprilsao2025.xls) | 33a1696d69874ad86501f739a0186f0e4c0301b5a45d73da903f91539c0db427 |
| SHA-256 (WEF.HTA) | 2bfbff6792ca46219259424efbbbbe09dbe6ae8fd9426c50aa0326a530ac5b14 |
| Sha-256 (sihost.exe) | 7e16ed31277c31c0370b391a1fc73f7f7f0cd13c3bab0ea9e2f303b6019af |
| SHA-256 (Springmaker) | A619B1057BCCB69C4D00366F62EBD6E969935CA65FA40FDBFE1B95E36BA605D |
| SHA-256 (Formbook) | 3843f96588773e2e463a4da492c875b3241a4842d0c087a19c948e2be0898364 |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun