Sigorta ve finans sektörlerini hedef alan yeni bir vergi temalı kötü amaçlı yazılım kampanyasının, güvenlik önlemlerini atlamanın ve Remcos RAT sunmanın bir yolu olarak kimlik avı e-posta mesajlarındaki GitHub bağlantılarından yararlandığı gözlemlendi; bu da yöntemin tehdit aktörleri arasında ilgi kazandığını gösteriyor.
Cofense araştırmacısı Jacob Malimban, “Bu kampanyada, bilinmeyen, düşük yıldızlı depolar yerine açık kaynaklı vergi dosyalama yazılımı UsTaxes, HMRC ve InlandRevenue gibi meşru depolar kullanıldı” dedi.
“Kötü amaçlı yazılım dağıtmak için güvenilir depoları kullanmak, tehdit aktörlerinin kendi kötü amaçlı GitHub depolarını oluşturmasıyla karşılaştırıldığında nispeten yenidir. Bu kötü amaçlı GitHub bağlantıları, yorumlara izin veren herhangi bir depoyla ilişkilendirilebilir.”
Saldırı zincirinin merkezinde GitHub altyapısının kötü amaçlı yükleri hazırlamak için kötüye kullanılması yer alıyor. İlk olarak OALABS Research tarafından Mart 2024’te açıklanan tekniğin bir varyasyonu, tehdit aktörlerinin iyi bilinen depolarda bir GitHub sorunu açmasını ve bu konuya kötü amaçlı bir veri yüklemesini ve ardından sorunu kaydetmeden kapatmasını içeriyor.
Bunu yaparken, yüklenen kötü amaçlı yazılımın, sorun hiçbir zaman kaydedilmemesine rağmen varlığını sürdürdüğü, saldırganların kendi seçtikleri herhangi bir dosyayı yüklemesine ve bağlantı dışında herhangi bir iz bırakmamasına izin verdiği için kötüye kullanıma uygun hale gelen bir vektör olduğu tespit edildi. dosyanın kendisi.
Morphisec tarafından bu hafta ayrıntılı olarak açıklandığı üzere bu yaklaşım, kullanıcıları kandırarak, virüs bulaşmış sistemlerde kalıcılık oluşturma ve ek yükler sağlama kapasitesine sahip Lua tabanlı bir kötü amaçlı yazılım yükleyiciyi indirmeleri için silah haline getirildi.
Cofense tarafından tespit edilen kimlik avı kampanyası da benzer bir taktiği kullanıyor; tek fark, bir dosya (yani kötü amaçlı yazılım) eklemek için GitHub yorumlarını kullanması ve ardından yorumun silinmesidir. Yukarıda bahsedilen durumda olduğu gibi, bağlantı etkin kalır ve kimlik avı e-postaları aracılığıyla yayılır.
Malimban, “GitHub’a bağlantı içeren e-postalar SEG güvenliğini atlamada etkilidir çünkü GitHub genellikle güvenilir bir alan adıdır” dedi. “GitHub bağlantıları, tehdit aktörlerinin Google yönlendirmelerini, QR kodlarını veya diğer SEG atlama tekniklerini kullanmak zorunda kalmadan e-postadaki kötü amaçlı yazılım arşivine doğrudan bağlanmalarına olanak tanıyor.”
Bu gelişme, Barracuda Networks’ün, kötü amaçlı içeriği engellemeyi ve tespitten kaçmayı zorlaştırmanın bir yolu olarak ASCII ve Unicode tabanlı QR kodları ve blob URL’leri de dahil olmak üzere kimlik avcıları tarafından benimsenen yeni yöntemleri ortaya çıkarmasıyla ortaya çıktı.
Güvenlik araştırmacısı Ashitosh Deshnur, “Bir blob URI’si (blob URL’si veya nesne URL’si olarak da bilinir), tarayıcılar tarafından, tarayıcının belleğinde geçici olarak tutulan ikili verileri veya dosya benzeri nesneleri (bloblar olarak adlandırılır) temsil etmek için kullanılır” dedi.
“Blob URI’leri, web geliştiricilerinin, harici bir sunucuya göndermek veya bu sunucudan almak zorunda kalmadan, doğrudan tarayıcının içinden görüntüler, videolar veya dosyalar gibi ikili verilerle çalışmasına olanak tanır.”
Bu aynı zamanda ESET’in, Telekopye Telegram araç setinin arkasındaki tehdit aktörlerinin odak noktalarını çevrimiçi pazar dolandırıcılıklarının ötesinde, Booking.com ve Airbnb gibi konaklama rezervasyon platformlarını hedef alacak şekilde genişlettiği ve Temmuz 2024’te keskin bir artış tespit edildiği yönündeki yeni araştırmayı da takip ediyor.
Saldırılar, meşru otellerin ve konaklama sağlayıcılarının ele geçirilmiş hesaplarının potansiyel hedeflerle iletişime geçmek için kullanılması, rezervasyon ödemesiyle ilgili sözde sorunlar olduğu iddia edilmesi ve onları finansal bilgilerini girmeye yönlendiren sahte bir bağlantıya tıklamaları için kandırılmasıyla karakterize ediliyor.
Araştırmacılar Jakub Souček ve Radek Jizba, “Dolandırıcılar, bu hesaplara erişimlerini kullanarak yakın zamanda konaklama rezervasyonu yapan ve henüz ödeme yapmamış veya çok yakın zamanda ödeme yapmış olan kullanıcıları seçip platform içi sohbet aracılığıyla onlarla iletişime geçiyor” dedi. “Platforma ve Mammoth’un ayarlarına bağlı olarak bu, Mammoth’un rezervasyon platformundan bir e-posta veya SMS almasına yol açıyor.”
“Sağlanan bilgiler kurbanlarla kişisel olarak ilgili olduğundan, beklenen iletişim kanalı üzerinden ulaştığından ve bağlantılı, sahte web siteleri beklendiği gibi göründüğünden, bu durum dolandırıcılığın fark edilmesini çok daha zorlaştırıyor.”
Dahası, mağduriyet ayak izinin çeşitlendirilmesi, dolandırıcı gruplarının otomatik kimlik avı sayfası oluşturmayı kullanarak dolandırıcılık sürecini hızlandırmasına, etkileşimli sohbet robotları aracılığıyla hedeflerle iletişimi geliştirmesine, kimlik avı web sitelerini rakiplerin kesintisine karşı korumasına olanak tanıyan araç setindeki iyileştirmelerle tamamlandı. ve diğer hedefler.
Telekopye’nin operasyonları da kendi payına düşen aksaklıklardan mahrum kalmadı. Aralık 2023’te Çekya ve Ukrayna’dan kolluk kuvvetleri, kötü amaçlı Telegram botunu kullandığı iddia edilen birkaç siber suçlunun tutuklandığını duyurdu.
Çek Cumhuriyeti Polisi yaptığı açıklamada, “Programcılar Telegram botları ve kimlik avı araçlarını yarattı, güncelledi, sürdürdü ve iyileştirdi, ayrıca suç ortaklarının internetteki anonimliğini sağladı ve suç faaliyetlerinin gizlenmesine yönelik tavsiyelerde bulundu.” dedi. zaman.
ESET, “Söz konusu gruplar, özel çalışma alanlarından, Doğu Avrupa, Batı ve Orta Asya’dan gelen orta yaşlı erkekler tarafından yönetiliyordu.” dedi. “‘Kolay para’ vaat eden iş portalı ilanları aracılığıyla ve üniversitelerdeki teknik açıdan yetenekli yabancı öğrencileri hedef alarak zor yaşam koşullarındaki insanları işe aldılar.”