Bu hafta yayınlanan kapsamlı bir tehdit raporuna göre, “Power Parasites” adlı sofistike bir kimlik avı kampanyası 2024’ten beri küresel enerji devlerini ve büyük markaları aktif olarak hedefliyor.
Devam eden kampanya, özenle hazırlanmış yatırım dolandırıcılığı ve hileli iş fırsatları aracılığıyla Siemens Energy, Schneider Electric, EDF Energy, Repsol SA ve Suncor Energy dahil olmak üzere önde gelen enerji şirketlerinin isimlerini ve markalarını kullanıyor.
.webp)
Saldırganlar, başta Bangladeş, Nepal ve Hindistan dahil olmak üzere Asya ülkelerindeki bireyleri hedefleyen meşru şirketleri taklit etmek için tasarlanmış 150’den fazla aktif alandan oluşan kapsamlı bir ağ kurdu.
.png
)
Kurbanlara, etkinliği artırmak için genellikle İngilizce, Portekiz, İspanyolca, Endonezya, Arapça ve Bangla’da yerelleştirilmiş içerikle aldatıcı web siteleri, sosyal medya grupları ve telgraf kanallarının bir kombinasyonu ile yaklaşılmaktadır.
Sessiz Push araştırmacıları, tehdit aktörlerinin bir “sprey ve dua” metodolojisi kullandığını, aynı zamanda kurban erişimini en üst düzeye çıkarmak için çok sayıda web sitesi dağıtarken birden fazla marka adını kötüye kullandığını belirlediler.
Kampanyanın altyapı analizi, saldırganların “SE” (Siemens Energy’yi temsil eden) ve “AMD” (gelişmiş mikro cihazlar için) gibi anahtar kelimeler içeren alan adlarını kullandığını, “Sehub.top” ve “AMD-Biz.mom” gibi kalıplar oluşturduğunu ortaya koydu.
Birincil enfeksiyon vektörleri, iki farklı yaklaşımla sosyal mühendisliği içerir. Yatırım aldatmaca varyantında, kurbanlar saygın enerji şirketleri tarafından desteklenen sahte yatırım platformları aracılığıyla yüksek getiri vaatleriyle çekilir.
Bu arada, iş aldatmaca varyantı, iyi bilinen şirketlerde hileli istihdam fırsatlarına sahip kurbanları, başvuru sahiplerinin “işe alım” sürecinde banka hesabı detayları, kimlik belgeleri ve geçersiz kontroller de dahil olmak üzere hassas kişisel ve finansal bilgiler sağlamalarını istemektedir.
Enfeksiyon mekanizması ve teknik altyapı
Güç Parazitleri kampanyası, maksimum erişim ve minimum algılama için tasarlanmış karmaşık bir teknik altyapı kullanır.
Aldatıcı web sitelerinin analizi, “davet kodu” alanı içeren oturum açma sayfaları, yanlış bir münhasırlık duygusu yaratmak için yatırım dolandırıcılıklarında kullanılan klasik bir teknikle tutarlı bir şablon deseni ortaya koymaktadır.
Kampanyanın tanıtımı, potansiyel kurbanları “SE-Renwables.info” gibi kötü amaçlı alanlara yönlendiren videoların birden fazla dilde cazip başlıklarla yayınlandığı YouTube’a yayıldı.
Bangla’dan çevrilen böyle bir video, izleyicilere saldırganların çok dilli hedefleme stratejisini gösteren “yeni sitelerden ücretsiz para kazanabileceklerine” söz verdi.
Güvenlik araştırmacıları tarafından yürütülen teknik parmak izi, bu kimlik avı alanlarının altyapıları boyunca ortak özellikler kullandığını ve diğerleri kaldırıldığında hızla yeni alanlar dağıtmalarını sağladığını ortaya koydu.
Kampanya ayrıca, birçoğu yasaklanmış veya silinmiş olsa da, kötü niyetli bağlantılar dağıtmak için isimlerinde “Siemenenergy” içeren telgraf kanallarından yararlanıyor.
Siemens Energy, hileli faaliyetler hakkında zaten “herhangi bir yatırım platformu çalıştırmadıklarını” ve “başvuru sürecinden önce/sırasında/sırasında ücret istemeyin” diye uyardı.
.webp)
Benzer şekilde, Repsol Energy, yürütme ekibini taklit etmek için yapay zeka kullanan planlar hakkında uyaran bir dolandırıcılık uyarı sayfası oluşturdu.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy