Amerikalıları hedefleyen gelişmiş bir kimlik avı kampanyası şu anda sahte Sosyal Güvenlik İdaresi (SSA) e -postaları aracılığıyla tur yapıyor.
İkna edici bir şekilde hazırlanmış bu mesajlar, alıcılara Sosyal Güvenlik beyanlarının indirilebileceğini bildirerek ekli bir dosyayı tıklamaya teşvik eder.
.webp)
Görünüşte meşru iletişim, ortalama kullanıcıların hileli olarak tanımlamasını zorlaştıran resmi SSA markalaşması ve biçimlendirme taşıyor.
.png
)
Kullanıcılar talimatları izlediklerinde, farkında olmadan “PruciptapIRL2025PDFC.EXE” veya “sSastatment11april.exe” gibi adlarla gizlenmiş yürütülebilir bir dosyayı indirirler.
Bu zararsız isimlere rağmen, dosyalar aslında saldırganlara kurbanların sistemleri üzerinde tam kontrol sağlayan Screenconnect adlı meşru bir uzaktan erişim aracı içeriyor.
Malwarebebytes araştırmacıları, bu kampanyanın arkasında “Molatori” olarak adlandırılan bir tehdit oyuncusu grubu, kötü niyetli ScreAnconnect müşterilerine ev sahipliği yapmak için kullandıkları alanlardan sonra belirlediler.
Grup öncelikle finansal sahtekarlık ile motive ediliyor, sistem erişimi kazandıktan sonra bankacılık detaylarına ve kişisel kimlik bilgilerine erişiyor.
Saldırı, tespiti zorlaştıran çeşitli teknik avantajlardan yararlanır.
Siber suçlular kimlik avı e -postalarını tehlikeye atılan WordPress sitelerinden dağıtarak gönderen alanlarının meşru görünmesini sağlar.
Ayrıca, e -posta güvenlik filtreleri tarafından etkili taramayı önlemek için e -posta içeriğini resimler olarak yerleştirirler.
Kurulduktan sonra, ScreAnconnect A Mecrence Uzaktan Yönetim Aracı Kapsamlı Sistem Erişimi ile Saldırganları Sağlar.
Aracın meşru durumu, saldırganlara komut dosyalarını çalıştırmak, komutları yürütme, dosyaları aktarma ve kullanıcı farkındalığı olmadan ek kötü amaçlı yazılım yükleme özellikleri verirken, güvenlik çözümleri ile algılamayı zorlaştırır.
Enfeksiyon mekanizması, devlet kurumlarına olan güvenden yararlandığı için özellikle sinsidir.
Kurulumdan sonra ScreAnconnect istemcisi, atmolatori.icu, gomolatori.cyou ve birkaç benzer varyasyon dahil olmak üzere komut alanlarına bir bağlantı kurar.
Malwarebebytes bu şüpheli örnekleri rissware.connectwise.cst olarak algılar ve ilişkili alanlara bağlantıları engeller.
Güvenlik uzmanları, bağımsız kanallar aracılığıyla e-posta kaynaklarının doğrulanmasını, beklenmedik bağlantılara tıklamaktan kaçınmayı ve bu ve benzer kampanyalara düşen kurbanın düşmesini önlemek için güncellenmiş kötü amaçlı yazılım önleme korumasını sürdürmeyi önerir.