LinkedIn mesajları, Cluster25’in tespit ettiği kötü amaçlı bir kampanyada kimlik hırsızlığı saldırıları başlatmanın bir yolu olarak kullanıldı.
Saldırıya uğramış hesaplardan iş tekliflerine benzeyen PDF dosyaları içeren mesajlar gönderiyorlar. Ancak bu dosyalar, verilerinizi çalabilecek tehlikeli web sitelerine bağlantılar içerir.
Cluster25, tehdit istihbaratı ve olaylara müdahale konusunda uzmanlaşmış bir siber güvenlik firmasıdır. Bu kampanyayı saldırganların kullandığı kötü amaçlı alan adlarını ve URL’leri analiz ederek keşfettiler.
Bilgisayar korsanları DuckTail adı verilen ve Facebook Business hesabınızı da ele geçirebilecek bir tür kötü amaçlı yazılım kullanıyor.
Esas olarak İtalya’da satış ve finans alanında çalışan kişileri hedef alıyorlar.
Dolandırıcılık Nasıl Çalışır?
Bilgisayar korsanları, saldırıya uğramış bir LinkedIn hesabından size iş teklifi içeren bir PDF dosyası içeren bir mesaj gönderir. Örneğin, size Electronic Arts’ta (EA) Kıdemli Yönetici pozisyonu teklif edebilirler.
PDF dosyasının iki bağlantısı vardır. Bir bağlantı sizi EA’nın web sitesine benzeyen sahte bir web sitesine götürür. Sizden özgeçmişinizi ve ön mektubunuzu yüklemenizi istiyor.
Diğer bağlantı Microsoft OneDrive’dan bir ZIP dosyası indirir. ZIP dosyasında bazı video dosyaları ve Word belgelerine benzeyen ancak kötü amaçlı yazılım olan iki dosya bulunur.
Kötü amaçlı yazılım dosyalarının antivirüs yazılımı tarafından tespit edilmesi çok zordur çünkü tek dosya uygulaması adı verilen özel bir teknik kullanırlar. Kötü amaçlı kodu uygulamanın diğer dosyalarının içine gizlerler.
Kötü amaçlı yazılım dosyalarını çalıştırırsanız bilgisayarınıza bulaşır ve çerezler, oturum verileri ve tarayıcı kimlik bilgileri gibi bilgilerinizi çalmaya çalışırlar.
Ayrıca bağlantılı e-postayı kullanarak Facebook Business hesabınıza erişmeyi deneyeceklerdir.
Bazı bilgisayar korsanları, web tarayıcınızı gözetleyebilecek ve verilerinizi Telegram aracılığıyla onlara gönderebilecek sahte bir DLL dosyası oluşturdu.
Size LinkedIn iş teklifi içeren bir PDF göndererek bu dosyayı çalıştırmanız için sizi kandırıyorlar.
DLL dosyası Microsoft .NET ile yapılmıştır ve 18 Eylül 2023’te oluşturulmuştur. Bilgisayarınızda kendisinin çalışan başka bir kopyasının olup olmadığını kontrol eder.
Değilse, GUID’niz ve IP adresiniz gibi bilgisayarınızla ilgili bilgileri içeren bir dosya oluşturur. Ayrıca her şeyin normal olduğunu düşünmenizi sağlamak için iş tanımını içeren bir PDF dosyası da açar.
DLL dosyası daha sonra bilgisayar korsanlarıyla Telegram aracılığıyla iletişim kurar. BOT Kimliği 6263348871. Onlara ChatID’nizi ve bazı metinleri içeren bir mesaj gönderir.
Daha sonra /sendDocument API’sini kullanarak onlara verilerinizle birlikte ZIP dosyaları gönderir. Bilgisayar korsanlarının elinde şifreleme anahtarları, Telegram Bot Token’ı, ChatID ve bazı e-posta adreslerini içeren bir yapılandırma dosyası var.
DLL dosyası Microsoft Edge, Google Chrome, Brave Tarayıcı ve Mozilla Firefox gibi web tarayıcılarından çerezleri, oturum bilgilerini ve kayıtlı kimlik bilgilerini çalabilir.
Bilgisayar korsanları bu verileri çevrimiçi ortamda sizmişsiniz gibi davranmak ve hesaplarınıza erişmek için kullanabilir.
DLL dosyası ayrıca arka planda çalışmaya devam ederek bilgisayar korsanlarına daha fazla veri gönderir.
Ayrıca yapılandırma dosyasındaki e-posta adreslerine bağlantılar göndererek Facebook Business hesabınızı ele geçirmeye çalışabilir.
Bu bağlantılara tıklarsanız bilgisayar korsanları Facebook Business hesabınıza erişebilir.
Bu çok tehlikeli ve akıllı saldırı, LinkedIn kullanan profesyonelleri hedef alıyor.
Bilinmeyen kaynaklardan gelen dosya veya bağlantıları açarken dikkatli olmalı ve bilgisayarınızı korumak için daima antivirüs yazılımı kullanmalısınız.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.