Siber suçlular, sosyal mühendislik taktiklerini, kullanıcıların finansal kurumlara olan güvenini kullanan sofistike bir kötü amaçlı yazılım kampanyasıyla geliştirdiler.
En son tehdit, kredi kartı güvenlik e -posta kimlik doğrulama açılır penceresi olarak maskelenen kötü niyetli bir LNK dosyasını içerir ve özellikle şüphesiz kullanıcıları aldatıcı dosya adı sözleşmeleri yoluyla hedefler card_detail_20250610.html.lnk.
Bu saldırı, kötü amaçlı yazılım dağıtım yöntemlerindeki ilgili bir kaymayı temsil ederek, kullanıcı şüpheciliğini atlamak için kredi kartı güvenlik bildirimleriyle ilişkili aciliyet ve meşruiyetten yararlanır.
Kampanya, kötü niyetli yüklerin yanında meşru tuzak dosyalarını dahil ederek gelişmiş kaçırma tekniklerini göstermektedir.
Belge tabanlı tuzaklara dayanan geleneksel saldırıların aksine, bu tehdit aktör, ikna edici kredi kartı şirketi kimlik doğrulama arayüzleri oluşturmak için HTML dosyaları kullanır.
.webp)
Kullanıcılar LNK dosyasını yürüttüğünde, kötü amaçlı yazılım aynı anda meşru görünümlü bir HTML sayfasını indirir ve görüntüler, gerçek bir güvenlik sürecinin yanılsamasını korurken kötü amaçlı faaliyetlerini etkili bir şekilde maskeler.
ASEC analistleri, kötü amaçlı yazılım dağıtım kampanyalarının sürekli izlenmesiyle ortaya çıkan bu tehdidi belirlediler.
Araştırmacılar, tehdit aktörlerinin kimliğe bürünme tekniklerini önemli ölçüde artırdığını ve özellikle saygın finansal kuruluşları başarı oranlarını en üst düzeye çıkarmaları için hedeflediklerini belirtti.
Siber suçluların ilk uzlaşmayı kolaylaştırmak için kurumsal güveni giderek daha fazla kullandığı bu eğilim.
Gelişmiş enfeksiyon ve kalıcılık mekanizması
Kötü amaçlı yazılım enfeksiyon zinciri, sofistike çok aşamalı dağıtım yeteneklerini gösterir.
Yürütme üzerine, LNK dosyası bir HTA dosyasının ve Decoy HTML belgesinin sistemin geçici dizinine indirilmesini tetikler.
HTA bileşeni daha sonra iki kritik dosya oluşturur. C:\Users\{username}\AppData\Local Dizin: sys.dll (birincil kötü niyetli yük) ve user.txt (ek bileşenler için indirme URL’leri içerir).
.webp)
Kötü amaçlı yazılım, yansıtıcı DLL yükleme tekniğini kullanır. rundll32.exeüç özel modül yürütmesini sağlayan: app– netVe notepad.log.
. app Modül özellikle kimlik bilgisi hasat için krom, cesur ve kenar dahil olmak üzere krom tabanlı tarayıcıları hedeflerken net Kapsamı Opera, Firefox ve Google, Yahoo, Facebook ve Outlook gibi büyük web hizmetlerini içerecek şekilde genişletir.
. notepad.log Bileşen, kapsamlı bir arka kapı olarak işlev görür, uzaktan kabuk erişimi, dosya numaralandırma özellikleri ve yakalanan verileri saklayan anahtar işlevselliği sağlar C:\Users\{username}\AppData\Local\netkey dizin.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.