İtalyanca sahte gönderi e-postası ile birlikte gelen bir GuLoader kampanyasına göz atıyoruz.
2019’dan beri e-posta tabanlı kötü amaçlı yazılım kampanyalarının daimi favorisi olan GuLoader, bir kez daha vahşi doğada görüldü. GuLoader, çeşitli biçimlerde 2011 yılına kadar uzanan, damalı bir geçmişe sahip bir indiricidir. İki yıl önce en çok görülen malspam eklerimizden biriydi.
Malwarebytes e-posta telemetrisindeki etiketlere göre en popüler ekler
Dünya Sağlık Örgütü’nden gönderilen bir sağlık e-kitabı kılığına girerek pandemi sırasında da gördük.
GuLoader genellikle söz konusu kampanyanın yükünü yüklemek için kullanılır. Genellikle bir ZIP dosyası olarak gelir ve açıldıktan ve içindeki dosya çalıştırıldıktan sonra kötü amaçlı etkinlik başlar. Veri çalıcıları, truva atlarını, genel kötü amaçlı yazılım biçimlerini indirmeye çalışabilir… ne gerekiyorsa. Bunun da ötesinde, GuLoader ağ tespitinden kaçınmak ve sanal alan teknolojisinin ötesine geçmek için tasarlanmıştır. Örneğin, sanal bir test makinesine yüklendiğini algılayabilir ve yüklemeyi reddedebilir.
Bu durumda, İtalyanca yazılmış sahte bir nakliye bildirimimiz var.
GuLoader’ın İtalyan kökenleri göz önüne alındığında bu biraz komik. “Sevkiyat Bildirimi” başlıklı mail şu şekilde:
Sayın Müşteri,
Mastrotto Express ile size sevkiyatın başladığını bildirmekten memnuniyet duyarız. Gönderim detayları için lütfen ekteki dosyaya bakınız. Kolaylık sağlamak için gönderinin ayrıntılarını özetliyoruz:
Nakliye numarası:
İrsaliye numarası:
Paketlerin sayısı:
Ağırlık:
Hacim:
E-postanın bir sunucu tarafından otomatik olarak oluşturulduğunu size bildiririz, lütfen yanıtlamayın, işbirliğiniz için teşekkürler.
Bu örnekte, GuLoader bir Zip dosyasının içine gizlenmemiştir. Bunun yerine, ek bir .ISO dosyasıdır. .ISO, bir DVD’nin, bir CD’nin ve diğer ilgili ortam biçimlerinin kopyası olacak şekilde tasarlanmıştır. CD koleksiyonunuzu bir bilgisayara yedeklemek için biraz zaman harcadıysanız, muhtemelen bir klasörde bunlardan birçoğu vardır.
Dosya (veya bazen adlandırıldıkları şekliyle görüntü), içeriğe erişim elde etmek için sanal bir sürücü olarak bağlanır. Dosyaları açmak için WinZip gibi bir program da kullanabilirsiniz. Nasıl yaparsanız yapın, bu durumda içeride bekleyen tek şey, sahte bir .JPG dosyası biçimini alan GuLoader’dır. Aşağıdaki ekran görüntüsündeki .EXE (yürütülebilir) uzantısına dikkat edin. Yürütülebilir bir dosyaya çift uzantı vererek bir resimmiş gibi davranmak inanılmaz derecede eski bir numaradır. Öte yandan, işe yarıyor!
Sahte paket dolandırıcılığından nasıl kaçınılır?
- siparişlerinizi kontrol edin. E-posta hiçbir yere gitmiyor ve siparişiniz de gitmiyor. Paket ayrıntılarını ve ayrıca teslimat ağını tanıyıp tanımadığınızı görmek için bolca zamanınız var.
- Eklerden kaçının. Bir ZIP dosyasına eklenmiş sözde faturalar veya nakliye detayları şüpheyle ele alınmalıdır.
- Aciliyet duygusuna dikkat edin. Bir görevi yerine getirmeniz için baskı uygulayan herhangi bir şeye karşı dikkatli olun. Eksik bir ödeme ve bunu yapmak için sadece 24 saat mi var? Zamana duyarlı bir geri ödeme mi? Gizemli nakliye ücretleri? Hepsi bir karar vermenizi hızlandırmak için tasarlanmıştır.
- Şüpheniz varsa, resmi kanallardan doğrudan şirketle iletişime geçin.
Gönderdiği için Jerome’a teşekkürler.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE