Araştırmacılar, kullanıcıların Google’da video akışı hizmetleri için arama yaptıktan sonra istemeden kötü amaçlı web sitelerine yönlendirildiği iki ayrı durum gözlemledi.
Bu kurbanlar, spor veya film içeriklerine erişmeye çalışırken aldatıcı bir taktik kullanan kötü amaçlı URL’lere yönlendirildi.
Mağdurlara, insan doğrulaması talep eden bir komut istemi sunuldu ve bu komut tamamlandığında, mağdurun kötü amaçlı URL’ye ilk eriştiği anda gizlice oluşturulan ve kullanıcının sistemini tehlikeye atmayı amaçlayan bir PowerShell komutu çalıştırıldı.
PowerShell saldırısı, kurbanın sistemindeki geçici bir dizine çıkarılan kötü amaçlı bir ZIP arşivinin iletilmesini içerir.
Çıkarılan yürütülebilir dosya Setup.exe daha sonra çalıştırılır ve bu da yeniden adlandırılmış bir BitTorrent istemcisi (StrCmp.exe) ve tehlikeye atılmış bir Windows yardımcı programı (Search Indexer) gibi kötü amaçlı araçların dağıtımına yol açar; bu araçlar Vidar ve StealC gibi bilgi hırsızlarının kurulumu gibi daha fazla kötü amaçlı aktiviteyi kolaylaştırmak için kullanılır.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Bir saldırı vektörü, web tarayıcılarındaki bir güvenlik açığından yararlanarak komut istemlerini açıyor ve saldırganların doğrudan kurbanların cihazlarında yetkisiz kod yürütmesine olanak tanıyor. Bu saldırı Orta Doğu, Avustralya, Fransa ve ABD’yi de kapsayan birçok bölgede gözlemlendi.
Siber güvenlik uzmanları, mevcut kontrollerin benzer saldırıları başarıyla azalttığı örnekleri tespit etti.
Son örnekler arasında, kurbanların sistemlerinden hassas bilgileri çalan LummaC2 gibi kötü amaçlı yazılımları dağıtmak için sahte doğrulama süreçleri kullanan kimlik avı kampanyaları yer alıyor.
2023 yılında, tehdit aktörlerinin çeşitli çevrimiçi hizmetler ve kurumsal ağlar için kimlik bilgilerini ele geçirmek amacıyla kullandığı, daha sonra bu kimlik bilgilerinin yeraltı pazar yerlerinde satıldığı veya otel müşterilerine yönelik kimlik avı gibi saldırılar gerçekleştirmek için kullanıldığı bilgi hırsızlarının artan tehdidi vurgulandı.
CTU’nun Eylül 2024’teki olay müdahale taahhütlerine ilişkin yeraltı faaliyetlerine ilişkin analizi, sahte insan doğrulama isteminin kurbanlarından toplanan kimlik bilgilerinin, toplanmasının ardından hızla Rusya Pazarına yayıldığını ortaya koydu.
Çalışanların kurumsal sistemlerdeki akış hizmetlerine veya riskli içeriklere erişimini engelleyecek politikaların uygulanmasını ve bu tehditlerle mücadele etmek için güncel tehdit istihbaratına sahip düzenli sosyal mühendislik eğitimlerinin önerildiğini belirtiyorlar.
Web proxy’leri kötü amaçlı web sitelerine erişimi kısıtlamaya yardımcı olabilir.
Müşteriler, kötü amaçlı yazılımlara maruz kalma riskini azaltmak için, URL’lerin kötü amaçlı içerik barındırabileceği göstergelere göre erişimi incelemek ve kısıtlamak için mevcut denetimleri kullanmalıdır; bu nedenle bunları açmadan önce dikkatli olunması önerilir.
Kötü niyetli kişiler, kötü amaçlı yazılımları dağıtmak için sahte insan doğrulama web sayfalarını kullanıyor.
URL’ler [https://pcheck9.b-cdn.net/prop9.html](https://pcheck9.b-cdn.net/prop9.html) ve [https://secure-bot15.b-cdn.net/tera32.html](https://secure-bot15.b-cdn.net/tera32.html) bu sahte doğrulama sayfalarını doğrudan barındırır. Bu tür sayfalara yönlendirmeler, nihayetinde kötü amaçlı yazılım dağıtan bir kampanyanın parçası olan newvideozones.click/veri.html ve potansiyel olarak yip.su/25yX94 adreslerinden başlatılır.
Zararlı yazılım pub-9c4ec7f3f95c448b85e464d2b533aac1.r2.dev/peltgon.zip dosyasında bulunabilir, ancak doğrulamak için daha fazla analize ihtiyaç vardır.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free