Finansal amaçlı tehdit grupları, Kuzey Amerika’daki ulaştırma ve lojistik sektöründeki şirketleri, özel hazırlanmış yemler, bilgi çalan kötü amaçlı yazılımlar ve akıllıca yeni bir numara ile hedef alıyor.
Saldırı nasıl gerçekleşiyor?
Proofpoint tehdit araştırmacılarına göre saldırganlar, öncelikle ulaştırma ve nakliye şirketlerindeki çalışanların e-posta hesaplarını ele geçirip, daha sonra hesabın gelen kutusundaki mevcut e-posta konuşmalarına yanıt veriyor.
E-postalar genellikle kısa oluyor ve başlangıçta alıcıları, yürütüldüğünde uzak bir paylaşımdan kötü amaçlı yazılım indirecek olan ekli internet kısayolu (.URL) dosyasını indirmeye veya bu dosyaya giden bir bağlantıyı takip etmeye teşvik ediyordu.
Ancak Ağustos 2024’ten bu yana saldırganlar, kullanıcıları farkında olmadan Base64 kodlu bir PowerShell betiğini kopyalayıp yapıştırmalarını ve çalıştırmalarını sağlayacak eylemler gerçekleştirmelerini isteyen sayfalara yönlendiren yeni bir numara kullanmaya başladılar.
Proofpoint’in bu ve önceki kampanyalarda kullanılan bahane nedeniyle “ClickFix” adını verdiği teknik, son zamanlarda sahte insan doğrulama sayfaları aracılığıyla hedeflere karşı da kullanıldı. Amaç, kullanıcının kötü amaçlı yazılım indirip çalıştıracak bir betiği çalıştırmasını sağlamak.
Bu kampanyada, hedefin tarayıcısının görmek istediği belgeyi doğru bir şekilde görüntüleyememesi bahanesi öne sürülüyor. Kötü amaçlı sayfa ve uyarı, taşımacılık ve filo operasyonları yönetiminde kullanılan özel yazılımların iyi adını suistimal ediyor: Samsara, AMB Logistic ve Astra TMS.
Samsara’yı taklit eden saldırganlar (Kaynak: Proofpoint)
Taşımacılık ve lojistik kuruluşlarını hedef alan sınırlı kötü amaçlı yazılım dağıtım kampanyaları
Proofpoint araştırmacıları e-posta hesaplarının ilk ele geçirilmesinin nasıl gerçekleştiğini bilmiyorlar.
“Taşımacılık ve lojistikteki kuruluşların belirli hedeflenmesi ve uzlaşmaları, ayrıca yük operasyonları ve filo yönetimi için özel olarak tasarlanmış yazılımları taklit eden yemlerin kullanımı, aktörün kampanyaları göndermeden önce hedeflenen şirketin operasyonları hakkında araştırma yaptığını gösteriyor. Yemlerde ve içerikte kullanılan dil de tipik iş akışlarına aşinalık olduğunu gösteriyor” diye paylaştılar.
“Bu etkinlik bir eğilimle örtüşüyor [we] siber suçlu tehdit manzarasında gözlemledim. Tehdit aktörleri, karmaşık ve benzersiz kötü amaçlı yazılım yükleri yerine daha çok ticari kötü amaçlı yazılımlara güvenerek teslimat saldırı zinciri boyunca daha sofistike sosyal mühendislik ve ilk erişim teknikleri geliştiriyorlar.”
Bu sınırlı kampanyalarda teslim edilen kötü amaçlı yazılımlar arasında bilgi hırsızları (Lumma Stealer, StealC, ArechClient2, DanaBot) ve uzaktan kontrol yazılımları (NetSupport) yer alıyordu.
Araştırmacılar, tüm kullanıcıları, normal etkinlik veya içerikten sapan, özellikle alışılmadık görünümlü bağlantılar ve dosya türleriyle bir araya geldiğinde, bilinen göndericilerden gelen e-postalara karşı dikkatli olmaları konusunda uyarıyor. “Bu tür bir etkinlikle karşılaştıklarında kullanıcılar, göndericinin gerçekliğini doğrulamak için başka bir yol kullanarak göndericiyle iletişime geçmelidir,” diye tavsiyede bulundular.