Microsoft 365 e -posta platformunda gözlenen siber güvenlik firması Sublime Security tarafından keşfedilen yeni bir tehditte, bilgisayar korsanları, kullanıcıları sahte onedrive e -postalarıyla kandırmak için akıllı bir kötü amaçlı yazılım kampanyası kullanıyor.
Hackread.com ile paylaşılan araştırmada, firma bu sofistike saldırının kurbanın bilgisayarına iki ayrı uzaktan kontrol programı kurduğunu ve durmayı çok zorlaştırdığını buldu.
Sublime Security’nin yapay zeka ile çalışan sistemi, birkaç ince ipucunu tespit ederek saldırıyı tespit etti. Bunlar arasında bir dosyayı paylaştığını iddia eden ancak açıklanmayan bir alıcı listesine gönderilen e -posta, yanıltıcı dosya uzantısı ( .docx Ama olmak .msi) ve ücretsiz dosya barındırma sitesinin kullanımı.
Araştırmacılar, saldırının daha önce uzlaşmış bir hesaptan gönderilen kötü niyetli bir e -posta ile başladığını buldular. Mesaj, tanıdık bir gizlilik altbilgisi ve Word belge simgesiyle tamamlanan Microsoft’un OneDrive’dan bir dosya paylaşım bildirimi gibi görünecek şekilde tasarlanmıştır.
E -postanın bağlantısı bir belge dosyası indirmeyi vaat ediyor, ancak aslında ücretsiz bir hizmette barındırılan tehlikeli bir yükleyici dosyasına, Discord CDN’ye yol açar. Bir kullanıcı bağlantıyı tıkladığında, saldırı RMM olarak bilinen yazılımı veya uzaktan izleme ve yönetimi yükler. Bunlar, BT profesyonelleri tarafından bilgisayarları uzaktan düzeltmek için kullanılan meşru araçlardır, ancak siber suçlular bunları bir makinenin tam kontrolünü almak için kullanabilirler.
RMM yazılımı, uzaktan erişim için bağlantıyı oluşturan hedef bilgisayarda aracı adı verilen küçük bir program yükleyerek çalışır. Kurulduktan sonra, verileri çalmak, makineyi fidye için kilitlemek veya diğer saldırılar sunmak için bir RMM kullanılabilir. Bu kampanya özellikle zordur, çünkü Atera’yı görünür bir süreçte kurarken, Splashtop Salonu ve .NET çalışma zamanı 8 dahil olmak üzere iki kurulum arka planda çalışır.
Bunların her ikisi de meşru kaynaklardan indirilir ve bu da onları zararsız web trafiği olarak görür. Bu ikili yaklaşım, planın önemli bir parçasıdır ve saldırganın “bir RMM keşfedilse bile uzaktan kumandayı sürdürmesini” sağlar.
Bu kampanya, bir kurbanın makinesi üzerinde kalıcı kontrol elde etmek için aldatmacayı kullanan çok aşamalı saldırıların artan tehdidini vurgulamaktadır. Güvende kalmak için, OneDrive gibi güvenilir kaynaklardan bile beklenmedik e -postalarla daima dikkatli olun. Ayrıca, indirilen dosyaları açmadan önce türlerini ve adlarını dikkatlice kontrol edin; Dosya türü kapalı görünüyorsa, bir yerine bir .msi dosyası gibi .docxçalıştırmayın.