Proofpoint araştırmacıları, saldırganların, kullanıcılara kötü amaçlı yazılım yüklemelerini sağlamak için giderek daha fazla akıllı bir sosyal mühendislik tekniği kullandığı konusunda uyarıyor.
Mesaj bir soruna dair uyarıda bulunuyor ama aynı zamanda sorunu düzeltmenin bir yolunu da sunuyor (Kaynak: Kanıt Noktası)
Sosyal mühendislik kullanıcılarının kötü amaçlı yazılım yüklemesi
Kullanıcıların bilgisayarlarına kötü amaçlı yazılım yüklemesini sağlamak her zaman doğru tuzağı bulma ve güvenlik korumalarını atlama meselesiydi. İkincisi iyileştikçe (ve genişledikçe) ve kullanıcıların saldırganların olağan hileleri konusundaki farkındalığı arttıkça, tehdit aktörlerinin taktiklerini uyarlaması gerekiyor.
Giderek daha popüler hale gelen yöntemlerden biri, ister bir web sitesi tarafından ister e-posta eki olarak gönderilen bir HTML belgesini açarken görüntülenen sahte hata mesajıdır.
Web sayfasını/belgeyi görme isteği veya ihtiyacı çok büyükse, birçok kullanıcı “kök sertifikayı yüklemek”, “sorunu çözmek”, “uzantıyı yüklemek” veya “DNS önbelleğini manuel olarak güncellemek” için belirtilen adımları izleyecektir. .
Araştırmacılar, “Saldırı zincirinin başarılı olması için önemli bir kullanıcı etkileşimi gerektirmesine rağmen, sosyal mühendislik, gerçek bir sorun ve çözümü aynı anda birine sunacak kadar akıllıdır ve bu da kullanıcıyı riski dikkate almadan harekete geçmeye teşvik edebilir” dedi. .
Tipik bir saldırı zinciri (Kaynak: Proofpoint)
Tespit zordur
İlk erişim aracısı ve sahte güncellemelerden yararlanan en az bir aktör de dahil olmak üzere çeşitli saldırganlar, Mart 2024’ten bu yana bu özel hileyi kullanıyor.
Görsel cazibeler ve talimatlar değişir, ancak amaç aynıdır: Kullanıcının PowerShell’i çalıştırmasını ve kötü amaçlı yazılım (DarkGate, NetSupport, çeşitli bilgi hırsızları) yüklemesini sağlayın.
Araştırmacılar, “Her durumda, hem sahte güncellemeler hem de HTML ekleri yoluyla, kötü amaçlı PowerShell/CMD komut dosyası, meşru sitelerde de yaygın olarak kullanılan tarayıcı tarafı JavaScript aracılığıyla panoya kopyalanıyor” diye açıkladı.
“Meşru kullanım, kötü amaçlı kodu saklamanın birçok yolu ve kurbanın kötü amaçlı kodu bir dosyayla doğrudan ilişkilendirmeden manuel olarak çalıştırması, bu tür tehditlerin tespitini zorlaştırıyor.”
Tarama korumaları ve e-posta filtreleri bu siteleri ve e-postaları engelleyemezse kullanıcılar son savunma hattını oluşturur. Proofpoint, “Kuruluşlar, kullanıcıları etkinliği tanımlama ve şüpheli etkinliği güvenlik ekiplerine bildirme konusunda eğitmelidir” tavsiyesinde bulunuyor.