Trellix, BazarCall sosyal mühendislik taktiklerinin evrimi hakkında yakın zamanda bir rapor yayınladı. Başlangıçta BazarCall kampanyaları 2020’nin sonlarında ortaya çıktı ve Trellix’teki araştırmacılar bu kampanyaya ilişkin saldırılarda sürekli bir büyüme fark ettiler.
Raporlar, ilk başta, fidye yazılımı dağıtmak için bir giriş noktası olarak kullanılan BazaarLoader’ı (arka kapı) teslim ettiğini söylüyor. Bir BazaarLoader enfeksiyonu, Conti Ransomware’in 32 saat içinde yüklenmesine yol açar.
Ayrıca Trickbot, Gozi IFSB, IcedID ve daha fazlası gibi diğer kötü amaçlı yazılımları da sağladığı tespit edildi. Bu durumda, “BazarCall, sosyal mühendislik taktiklerini durmaksızın uyarladı ve geliştirdi”. Bu kampanyaların en çok Amerika Birleşik Devletleri ve Kanada’da aktif olduğu bulundu. Ayrıca Hindistan ve Çin gibi bazı Asya ülkelerini de hedef alıyorlardı.
BazarCall nedir?
BazarCall bir kimlik avı e-postası ile başlar, ancak oradan yeni bir dağıtım yöntemine sapar – kötü amaçlı yazılım yükleyen kötü amaçlı Excel belgelerini dağıtmak için telefon çağrı merkezlerini kullanır.
BazarCall’ın durumunda, hedeflenen kullanıcılar numarayı çevirmelidir. Ve bunu yaptıklarında, kullanıcılar hattın diğer ucundaki gerçek insanlarla bağlantı kurar ve bu kişiler daha sonra cihazlarına kötü amaçlı yazılım yüklemek için adım adım talimatlar sağlar.
Bazarcall Sosyal Mühendislik Taktiklerinin Evrimi
Trellix, BazarCall kampanyalarının saldırı akışını üç aşamada sınıflandırır: İlk Aşama 1 – Teslimat vektörünün, alıcıya bir ürünün satın alınması/yenilenmesi için hesabından alınan bir ücret hakkında bilgi veren bir ‘sahte bildirim e-postası’ olduğu yem /abonelik.
Kurbanı tanımak için dolandırıcı tarafından kullanılan benzersiz bir fatura numarası ile Ürün Adı, Tarih, Model vb. bilgileri içerir.
Ayrıca e-posta, mağdurun herhangi bir sorgu veya iptal talebi için telefon numarasını arayabileceğini söylüyor. Araştırmacılar, bilgilerin e-posta gövdesinde veya bir PDF eki olarak orada olduğunu söylüyor.
Araştırmacılar, bu kampanyanın Geek Squad, Norton, McAfee, PayPal, Microsoft vb. birçok markayı taklit ederek görüldüğünü söylüyor.
2. Aşamada, alıcı dolandırıcılık çağrı merkezini aradığında, kurbanı sistemlerinde kötü amaçlı yazılım indirip çalıştırmaya yönlendirir. Alıcının “doğrulama” için fatura ayrıntılarını vermesi istenir. Bundan sonra dolandırıcı, sistemde eşleşen giriş olmadığını ve kurbanın aldığı e-postanın spam olduğunu beyan eder.
Ardından müşteri hizmetleri temsilcisi, istenmeyen e-postanın makinelerine kötü amaçlı yazılım bulaşmasına yol açmış olabileceğini kurbana bildirir ve onları bir teknik uzmanla bağlantı kurmayı teklif eder.
Ardından, farklı bir dolandırıcı, kurbanı virüs bulaşmasına yardımcı olması için arar ve onları, virüsten koruma yazılımı gibi görünen kötü amaçlı yazılımları indirdikleri bir web sitesine yönlendirir.
Güvenlik yazılımı abonelik yenileme kampanyalarında, dolandırıcılar, kurbanın dizüstü bilgisayarına önceden yüklenen güvenlik ürününün süresinin dolduğunu ve korumayı genişletmek için otomatik olarak yenilendiğini iddia ediyor. Ardından dolandırıcı, kurbanı, aynı zamanda kötü amaçlı yazılım bırakma sitesi olan bir iptal ve geri ödeme portalına yönlendirir.
Son aşamada, kötü amaçlı yazılım yürütülür ve finansal dolandırıcılık yapmak veya sisteme ek kötü amaçlı yazılımları göndermek için kullanılır.
Trellix, bu son kampanyaların çoğunun, başlatıldığında ScreenConnect uzaktan erişim aracını yükleyen ‘support.Client.exe’ adlı bir ClickOnce yürütülebilir dosyasını zorladığını belirtiyor.
Trellix, “Saldırgan ayrıca sahte bir kilit ekranı gösterebilir ve sistemi kurban için erişilemez hale getirebilir, burada saldırgan, kurbanın farkında olmadan görevleri gerçekleştirebilir” diye açıklıyor.
Geri ödemeyi almak için kurbanın banka hesabında oturum açması istenir ve bunun yerine dolandırıcıya para göndermesi için kandırılırlar.
Trellix raporu, “Bu, kurbanın ekranını kilitleyerek ve bir aktarım isteği başlatarak ve ardından işlem bir OTP (Tek Kullanımlık Şifre) veya ikincil bir şifre gerektirdiğinde ekranın kilidini açarak gerçekleştirilir” diye açıklıyor.
“Kurbana ayrıca, onu geri ödemeyi aldıklarına inandırmak için sahte bir geri ödeme başarılı sayfası sunulur. Dolandırıcı, kurbanın herhangi bir dolandırıcılıktan şüphelenmesini önlemek için ek bir taktik olarak kurbana sahte para alındı mesajı içeren bir SMS de gönderebilir.”
Trellix E-posta güvenliği, bu tür e-postaların sisteminize ulaşmasını engelleyerek BazarCall kampanyalarından güvenilir algılama sağlar.
DDoS Saldırılarının türlerini öğrenmek için Ücretsiz DDoS Koruması Teknik Belgenizin Kopyasını Alın