Black Basta fidye yazılımı grubuyla bağlantıları olduğu iddia edilen devam eden bir sosyal mühendislik kampanyasının, kimlik bilgisi hırsızlığı yapmak ve SystemBC adlı bir kötü amaçlı yazılım dağıtıcısı dağıtmak amacıyla “çoklu saldırı girişimleriyle” bağlantısı kuruldu.
Rapid7, “Tehdit aktörlerinin ilk başta kullandıkları yem aynı: Bir e-posta bombası, ardından etkilenen kullanıcıları arayıp sahte bir çözüm sunma girişimi,” dedi ve ekledi: “Dış aramalar genellikle etkilenen kullanıcılara Microsoft Teams üzerinden yapılıyordu.”
Saldırı zinciri daha sonra kullanıcıyı AnyDesk adlı meşru bir uzaktan erişim yazılımını indirip yüklemeye ikna eder; bu yazılım, takip eden yükleri dağıtmak ve hassas verileri sızdırmak için bir kanal görevi görür.
Bu, e-posta spam filtrelerini indirmeyi amaçlayan ve kullanıcıları güncellemeyi tamamlamak için Windows kimlik bilgilerini girmeye zorlayan “AntiSpam.exe” adlı yürütülebilir dosyanın kullanımını da içeriyor.
Bu adım, uzak bir sunucuyla iletişim kuran Golang tabanlı bir HTTP işaretçisi, bir SOCKS proxy’si ve SystemBC’yi içeren birkaç ikili dosyanın, DLL dosyasının ve PowerShell betiğinin yürütülmesini takip eder.
Tehdidin oluşturduğu riski azaltmak için, onaylanmamış tüm uzak masaüstü çözümlerini engellemeniz ve şirket içi BT personelinden geliyormuş gibi görünen şüpheli telefon görüşmelerine ve mesajlara karşı dikkatli olmanız önerilir.
ReliaQuest’in verilerine göre, SocGholish (diğer adıyla FakeUpdates), GootLoader ve Raspberry Robin’in 2024 yılında en sık görülen yükleyici türleri olarak ortaya çıkması ve bu tür yükleyicilerin fidye yazılımları için bir basamak görevi görmesi bekleniyor.
Siber güvenlik şirketi, “GootLoader, bu yıl ilk üçte yer aldı ve aktivitesi azaldığı için QakBot’un yerini aldı” dedi.
“Kötü amaçlı yazılım yükleyicileri, XSS ve Exploit gibi karanlık web siber suçlu forumlarında sıklıkla reklamı yapılır ve burada ağ saldırılarını ve yük dağıtımını kolaylaştırmayı amaçlayan siber suçlulara pazarlanır. Bu yükleyiciler genellikle abonelik modelleriyle sunulur ve aylık ücretler, düzenli güncellemelere, desteğe ve tespit edilmekten kaçınmak için tasarlanmış yeni özelliklere erişim sağlar.”
Abonelik tabanlı yaklaşımın bir avantajı, sınırlı teknik uzmanlığa sahip tehdit aktörlerinin bile karmaşık saldırılar düzenlemesine olanak tanımasıdır.
Ayrıca, çok katmanlı bir dağıtım mekanizmasının parçası olarak Ande Loader adı verilen başka bir yükleyici aracılığıyla 0bj3ctivity Stealer adı verilen bir bilgi hırsızı kötü amaçlı yazılımın iletildiği de gözlemlenmiştir.
eSentire, “Kötü amaçlı yazılımın, gizlenmiş ve şifrelenmiş betikler, bellek enjeksiyon teknikleri ve Ande Loader’ın hata ayıklama önleme ve dize gizleme gibi özelliklerle sürekli olarak geliştirilmesi yoluyla dağıtılması, gelişmiş tespit mekanizmalarına ve sürekli araştırmaya olan ihtiyacı vurguluyor” dedi.
Bu kampanyalar, tehdit aktörlerinin giderek daha fazla kötü amaçlı amaçlar için sahte QR kodlarını silah olarak kullanmasına rağmen, son haftalarda ortaya çıkarılan bir dizi kimlik avı ve sosyal mühendislik saldırısının yalnızca sonuncusu –
- Google Chrome güncellemesini indirme bahanesiyle .NET kötü amaçlı yazılımlarını yaymak için tehlikeye atılmış web sayfalarını kullanan bir ClearFake kampanyası
- HSBC, Santander, Virgin Money ve Wise gibi sahte web sitelerini kullanarak Windows ve macOS kullanıcılarına AnyDesk Uzaktan İzleme ve Yönetim (RMM) yazılımının bir kopyasını sunan ve ardından hassas verileri çalmak için kullanılan bir kampanya
- Sahte bir web sitesi (“win-rar”)[.]co”) görünüşe göre GitHub’da barındırılan fidye yazılımı, kripto para madenciliği ve Kematian Stealer adlı bilgi hırsızlığını dağıtmak için kullanılan WinRAR’ı dağıtıyor
- Mağdurları ITarian’ın RMM aracını indirmeye ve Lumma Stealer’ı teslim etmek için kullanmaya ikna eden ücretli reklamlar aracılığıyla görünüşte meşru bir yapay zeka (AI) fotoğraf düzenleme web sitesini tanıtmak için Facebook sayfalarını ele geçiren bir sosyal medya kötü amaçlı reklam kampanyası
Trend Micro araştırmacıları, “Sosyal medya kullanıcılarının kötü amaçlı faaliyetler için hedef alınması, hesap kimlik bilgilerini korumak ve yetkisiz erişimi önlemek için sağlam güvenlik önlemlerinin önemini vurguluyor” dedi.