Siber güvenlik araştırma şirketi Blackpoint Cyber tarafından kullanıcıların hassas belgelere olan güvenini kullanan yeni bir kimlik avı saldırısı dalgası tespit edildi. Hackread.com ile paylaşılan bu araştırma, kullanan bir kampanyayı ortaya koyuyor. kimlik temalı kimlik avı Arşivler.
Bunlar, kötü amaçlı kod sunmak için sahte sertifikalı belgeler, pasaport taramaları ve ödeme dosyaları içerir. Tanıdık dosya temalarından yararlanarak, saldırganlar başarı şansını artırır ve mağdurların sistemlerine ilk erişim elde eder.
Bu araştırma için incelenen bir durumda, özel olarak tasarlanmış bir mızrak kimlik avı mesajı bir Zip arşiviözellikle kimlik doğrulaması ve ödeme onayları da dahil olmak üzere rutin yönetici iş akışlarını taklit eden dosyalarla üst düzey bir çalışanı veya yöneticiyi hedeflemek.
Basit bir tıklama nasıl bir güvenlik kabusu olabilir?
Saldırı, bir kurban normal ama önemli bir zip dosyasına benzeyen şeyleri aldığında başlar. İçeride, belgeler aslında kötü niyetli Windows kısayol dosyaları (olarak bilinir .lnk dosyalar). Şüphesiz bir kullanıcı bu kısayollardan birini tıkladığında, arka planda PowerShell adı verilen gizli bir programı sessizce tetikler.
Blackpoint Güvenlik Operasyonlar Merkezi (SOC) ekibi, bu senaryodan uzak bir web adresinden gizlenmiş bir yükü anında indirdi (hp05.com/gwt/). Şüphe yükseltmekten kaçınmak için, bu indirilen dosya akıllıca bir şekilde adlandırılmıştır. PowerPoint Sunumu; Ancak, kullanıcının bilgisayarına araştırmacıların “kasıtlı olarak yanlış etiketlenmiş” olarak tanımladığı zararlı bir DLL dosyası olarak kaydedilir.
Saldırganlar ‘Karada Yaşıyor’
Dosya kullanıcının bilgisayarında olduğunda, saldırgan kötü amaçlı yazılımları çalıştırmak için normal bir Windows özelliği olan Rundll32.exe adlı bir program kullanır. Bilgileriniz için, işletim sistemi genellikle bu aracı meşru görevler için kullanır, ancak bu durumda saldırganlar, Blackpoint Cyber’s’a göre “kullanıcı bağlamı altında saldırgan kodunu çalıştırmak için imzalı bir Windows ikili kullanırlar” soruşturma.
Bu taktik ‘karada yaşamak’ olarak adlandırılır (yerleşik sistem araçlarını kullanarak) ve burada kötü niyetli etkinliğin normal gibi görünmesini sağlamak için kullanılır Pencere Operasyonlar, birçok güvenlik aracını atlamaya yardımcı olur.
Damlağın en ilginç özelliği sinsi anti-virüsü (AV) kontrolüdür. Kelimenin tam anlamıyla AVG, Avast ve Bitdefender gibi popüler güvenlik programlarını kontrol eder (Avgui veya Bdagent gibi süreçleri arayarak). Bu, doğru kötü amaçlı dosyayı seçmesini sağlar (BD3V.ppt AV varsa veya NORVM.ppt Değilse), etkili bir şekilde ortak güvenlik ürünlerine karşı mükemmel kaçırma planı verir.
Basitçe söylemek gerekirse:
Kötü amaçlı yazılımları yaymak için bir Windows kısayol dosyası kullanma yeni değilSaldırganlar, kullanıcıları kötü amaçlı kodlar başlatmaya kandırmak için yıllardır bu özelliği kötüye kullanıyorlar. En son kampanyayı dikkate değer kılan şey, bu kısayolların nasıl paketlendiği ve teslim edildiğidir.
Belirgin yürütülebilir ürünler yerine, kötü amaçlı yazılım, hassas belgeler olarak gizlenmiş zip arşivlerinin içinde gizlenir. Sosyal mühendisliğin tanıdık bir teknikle bu çok aşamalı yaklaşımı, saldırıyı çok daha ikna edici hale getirirken, antivirüs tespiti ve yerleşik pencere araçlarının kullanımı gibi ek özellikler ortak güvenlik kontrollerini atlamasına izin veriyor.
Kendinizi korumak için lütfen kısayol dosyalarını rahatça çalıştırmaktan kaçının. Kuruluşlar, kısayol dosyalarının yürütülmesini yasaklayan politikalar uygulamaya ve nasıl programları izlemeye çağırılır. Powershell Ve rundll32.exe çalıştırın.