Malwarebytes, bilgisayar korsanlarının çalışanları hedef alan bir kimlik avı kampanyasında AnyDesk uzak masaüstü uygulamasından yararlandığı konusunda uyarıyor.
AnyDesk kimlik avı kampanyası
Malwarebytes araştırmacıları tarafından yakın zamanda keşfedilen bir kimlik avı kampanyasında saldırganlar, kuruluş içindeki rollerine uyacak şekilde kişiselleştirilmiş e-posta veya SMS yoluyla potansiyel kurbanları hedef aldı.
Ancak saldırganlar, doğrudan kurbanlardan bilgi almak için kimlik avı yapmak yerine, onların uzaktan izleme ve yönetim (RMM) yazılımını (bu durumda bu yazılım eski (ama meşru) AnyDesk çalıştırılabilir dosyasını) indirmelerini sağlamayı amaçladı.
Bunun için mağdurlar, çeşitli finans kurumlarını taklit eden yeni kayıtlı web sitelerine yönlendiriliyor ve bir “canlı sohbet uygulaması” indirmeleri isteniyor.
Barclays’inmiş gibi davranan sahte web sitesi. (Kaynak: Malwarebytes)
“Programı çalıştırdığınızda size yardımcı olmaya çalışan kişiye verebileceğiniz bir kod gösterilecektir. Bu, bir saldırganın makinenin kontrolünü ele geçirmesine ve doğrudan kullanıcıdan geliyormuş gibi görünen eylemler gerçekleştirmesine olanak tanıyabilir.” Malwarebytes araştırmacıları belirtti.
Maalesef pek çok bankacılık sitesi, bir müşterinin oturum açmaya çalışırken uzaktan erişim programı çalıştırıp çalıştırmadığını tespit edemiyor ve bazen tehdit aktörleri bu tespitlerden (varsa) kaçmayı başarabiliyor.
Bilgisayar korsanları RRM yazılımını kullanmayı seviyor
Kurbanları RMM’leri indirmeye yönlendiren kimlik avı kampanyaları yeni değil ve devlet kurumlarını bile hedef aldığı görülüyor.
RMM’lerin (AnyDesk ve ConnectWise Control gibi) kuruluşlar içindeki popülaritesi ve yaygın kullanımı, bunları bir ağı ihlal etmek ve hassas verilere erişmek için kullanabilecekleri yararlı bir araç olarak gören siber suçluların dikkatini çekti.
AnyDesk ayrıca yakın zamanda üretim sistemlerini tehlikeye atan bir veri ihlaline maruz kaldı. Çeşitli kuruluşlar arasındaki yaygın kullanımı göz önüne alındığında, böyle bir olayın önemli sonuçları olabilir.
Saldırganların meşru araçlardan yararlanmasını önlemek için kuruluşlara şunları yapmaları tavsiye edilir:
- Yazılım envanterlerini güncelleyin ve sürekli izleyin
- Gereksiz araçları kaldırmayı düşünün
- Kötüye kullanıma yardımcı olabilecek araçları kısıtlayın (kullanım onayının bir zaman sınırı olması gerekir)
- Olağan iş istasyonu etkinliğini tanıyın ve anormallikleri işaretleyin
- Düzenli olarak yama yapın ve güncelleyin