Forcepoint X-Labs’taki siber güvenlik uzmanlarının yaptığı yeni araştırma, işletmelerin, suçluların görünüşte normal dosyalar içinde kötü amaçlı yazılım sakladığı e-posta saldırılarında keskin bir artışla karşı karşıya olduğunu ortaya koyuyor. Hackread.com ile paylaşılan bu rapor, 2025’in üçüncü çeyreğindeki bir trende işaret ediyor ve kötü amaçlı yazılımları savunmalardan gizlice geçirmek için JavaScript eklerini kullanan kampanyalarda büyük bir artışa işaret ediyor.
Cazibesi
Forcepoint Güvenlik Araştırmacısı Mayur Sewani, saldırganların “günlük iş iletişimlerinde tuzaklarını gizlediklerini” belirtiyor. Bu, kötü amaçlı e-postaların, sahte satın alma siparişleri, sevkıyat bildirimleri veya fiyat teklifleri gibi ortalama ticari iletişimlere benzeyecek şekilde dikkatlice tasarlandığı anlamına gelir. Temel olarak alıcının güvenini hedef alıyorlar ve meşru istekler gibi görünüyorlar.
Araştırma ekibinin bulduğu tekrarlanan konu satırlarından bazıları arasında, genellikle alıcının diline göre yerelleştirilen “RE: Payment Swift MT103” ve “DHL Gönderi Bildirimi” yer alıyor. Araştırma, saldırganların İngilizce konuşulmayan işletmeleri hedef almak için bu yemleri İspanyolca (Solicitud de cotización) gibi birçok farklı dilde kullandığını belirtiyor.
Açık Görüşte Saklanmak
Saldırı genellikle bir JavaScript dosyası içeren sıkıştırılmış bir arşiv dosyasıyla (ZIP, RAR, 7z veya TAR) başlar. Bu JavaScript büyük ölçüde gizlenmiştir; bu, güvenlik araçlarının okumasını ve durdurmasını zorlaştırmak için kodun kasıtlı olarak karıştırıldığı anlamına gelir.
Bir kullanıcı onu açması için kandırıldığında, komut dosyası bir indirici görevi görür ve ‘Living off the Land’i (LotL) çalıştırmak ve komutlarını bir pencere göstermeden yürütmek için PowerShell ve WMI (Windows Yönetim Araçları) gibi yasal Windows araçlarını kullanarak saldırının bir sonraki aşamasını sessizce başlatır.
Kötü amaçlı yazılım dağıtım zinciri, bir dosyayı, mesajı veya bilgiyi başka bir dosyanın içinde gizlemeyi içeren steganografi adı verilen bir teknik kullanıyor. Bu saldırılarda kötü amaçlı kod, PNG dosyası gibi zararsız görünen bir görüntü dosyasının içine gizlenir. Kötü amaçlı yük, görüntünün veri akışı içinde Base64’te kodlanmıştır. İndirici komut dosyası daha sonra son ikili dosyayı yeniden oluşturmak için bu Base64 verilerini çıkarır ve kodunu çözer.
Nihai Yükler
Buradaki soru hala ortada: Ne sunuyorlar? Son yükler genellikle Uzaktan Erişim Truva Atları (RAT’lar) ve bilgi çalma programlarından oluşur. Soruşturma sırasında bulunan örnekler arasında hepsi kritik verileri çalmak için tasarlanmış DarkCloud, Remcos, Agent Tesla ve Formbook yer alıyor.
Son yük ya bir DLL ya da EXE ikili dosyasıdır. Kurulumdan sonra bu veriler çalınan kimlik bilgilerini, banka bilgilerini ve sistem verilerini ele geçirmek için Komuta ve Kontrol (C2) iletişimini başlatır.
Bu saldırıların oldukça karmaşık olduğunu ve süreç boşaltma (kötü amaçlı kodun aşağıdaki gibi güvenilir bir program içinde çalıştığı) gibi yöntemleri kullandığını belirtmekte fayda var. RegASM.exe etkinliğini gizlemek için) ve güvenlik analizi için kullanılan sanal makineler tarafından tespit edilmekten kaçınmak için işlevler.
Sewani, kuruluşların kendilerini bu tehdide karşı korumak için “gelişmiş e-posta filtrelemeyi, uç nokta korumasını ve kullanıcı farkındalığını birleştirmesi” gerektiğini tavsiye ediyor.