Mart 2025, hem bireysel kullanıcıları hem de kuruluşları riske atan siber tehditlerde keskin bir artış gördü. Kişisel verileri çalmak için silahlandırılan bankacılık uygulamalarından, kullanıcıları kimlik avı tuzaklarına yönlendirmek için istismar edilen güvenilir alanlara kadar, siber suçlular geri çekilmedi.
Taktikleri daha yaratıcı ve daha tehlikeli büyüyor.
İşte bu ay manşetlerde bulunan üç göze çarpan saldırının bir dökümü.
1. Telegram aracılığıyla Android kullanıcılarını hedefleyen sahte bankacılık uygulaması
IndusInd Bank uygulamasını taklit eden sofistike bir kötü amaçlı yazılım damlası, Android kullanıcılarını hassas finansal bilgileri çalmayı amaçlayan bir kimlik avı şemasında hedef aldı.
Kurulduktan sonra, kötü amaçlı uygulama sahte bir bankacılık arayüzü görüntüler, kullanıcıları cep telefonu numaraları, Aadhaar ve Pan numaraları ve net bankacılık kimlik bilgileri gibi kritik detaylar girmeye kandırır.
Mağdurlar verileri gönderdikten sonra, hem bir kimlik avı sunucusuna hem de telgraf kontrollü bir komut ve kontrol (C2) kanalına gönderilir.
APK’nın kendisi Base.APK, temel kötü amaçlı yük yükü içerir ve diğer uygulamaları yükleme izinleri vardır. Damla da gizlenir ve kodunu ve davranışını gizlemek için bir anahtarla (“NPManager”) xor şifrelemesini kullanır.
Bu saldırının gerçek dünya örneğini herhangi birinde görebilirsiniz. Run’un yeni Android Sandbox:
Analiz Oturumunu Görüntüle
Sandbox’ın içinde, sahte bankacılık uygulamasının gerçek arayüzünü keşfedelim ve saldırının nasıl ortaya çıktığını izleyelim.
Proses ağacı ve ağ bağlantılarını izleyerek, bir kullanıcının kimlik bilgilerini göndermek için nasıl kandırıldığını gözlemleyebilirsiniz.
Ağ etkinliği ayrıca çalınan verilerin bir kimlik avı sitesine nasıl gönderildiğini, ardından telgraf kontrollü bir komut sunucusuna iletildiğini de ortaya koyuyor.
Bu tür saldırı, mobil tehditlerin ne kadar hızlı büyüdüğünü vurgular. Meydan okulu bir çalışan, hassas verilere, dahili sistemlere ve hatta finansal hesaplara kapıyı açabilir ve tüm işi tehlikeye atar.
Bu yüzden kuruluşların bu tehditlerin önünde kalması çok önemlidir. Ekibinize şüpheli uygulamaları sorun olmadan önce kontrol etmek için doğru araçlar vermek, daha sonra tam bir ihlalle uğraşmaktan çok daha kolay ve daha güvenlidir.
Ekibinizi, güvenli, izole edilmiş bir sanal alan ortamı içinde saniyeler içinde şüpheli tehditleri analiz etmek için doğru araçlarla donatın -> 14 günlük her gün kaydolun.
2. Kötü amaçlı yönlendirmeler için sömürülen güvenilir web siteleri
Mart ayında araştırmacılar tarafından ortaya çıkan başka bir kampanyada, saldırganlar uzun süredir devam eden, güvenilir alanlar üzerindeki yönlendirme işlevlerini kullanıcıları kimlik avı sayfalarına yeniden yönlendirmeye istismar etti.
1996 yılında kaydedilen böyle bir alan adı, kullanıcılara hiçbir şeyin yanlış olduğundan şüphelenmek için hiçbir neden veren antivirüs araçları tarafından temiz olarak işaretlendi.
Analiz Oturumunu Görüntüle
Run Sandbox analizinde, 1996’da kayıtlı hedeflenen alandan başlayarak saldırının nasıl gerçekleştiğinin tam resmini görebiliriz.
Zayıf yönlendirme validasyonundan yararlanarak, tehdit aktörleri bu güvenli görünümlü URL’leri kötü amaçlı siteler için bir fırlatma rampasına dönüştürdü. Kullanıcılar hala meşru sayfalarda olduklarına veya aralarında hareket ettiklerine inandıklarından, aldatmaca için düşme olasılıkları daha yüksekti.
Bu yönlendirmelerden biri, yerleşik etkileşim özelliği sayesinde kum havuzunun içinde otomatik olarak atlanan ve analiz sırasında güvenlik ekipleri için değerli zaman kazandıran sahte bir Captcha sayfasıdır.
Bundan sonra, kullanıcı meşru bir Microsoft giriş ekranı gibi görünmek için tasarlanmış bir kimlik avı sayfasına iner. Ancak URL’ye daha yakından bakıldığında, bunun rastgele karakterlerle dolu ve açıkça Microsoft’a bağlı olmadığını gösteren gerçek bir şey olduğunu ortaya koyuyor.
Bu tür yönlendirmeler, özellikle antivirüs motorları onları tehlikeli olarak işaretlemediğinde, kullanıcı güvenine zarar verir ve tehdit algılamasını daha zor hale getirir.
3. Sahte Booking.com sayfaları Xworm sunan ve kart verilerini çalan
Siber suçlular tanıdık bir ismi seviyorlar ve bu sefer hedeflerinde Booking.com’du.
Bu kampanyada, siberler ile oluşturulan sahte rezervasyon markalı sayfalar kullanıldı. Saldırganlar, meşru rezervasyon sitesine yakından benzeyen alan adlarını kaydettirdiler, daha sonra kullanıcıları kötü amaçlı yazılım yürütme veya veri hırsızlığı ile sonuçlanan ikna edici bir akışla yönlendirdiler.
Analiz Oturumunu Görüntüle
.webp)
Bu durumda, sahte sayfa kullanıcılara Win + R tuşlarına bastığını, bir komut dosyasını yapıştırmasını ve Enter’a basmasını söyledi. Bu, verileri çalabilen ve saldırganlara uzaktan kumanda sağlayabilen Xworm kötü amaçlı yazılım başlattı.
Diğerinde Any.Run analiz oturumu, Kimlik avı sitesi, kullanıcıları “konaklamalarını doğrulamak” için kredi kartı bilgilerini girmeye teşvik etti. Sayfa yasal görünüyordu, ancak hassas finansal verileri hasat etmek için bir cepheden başka bir şey değildi.
Iili gibi alan adları[.]IO bu kampanyayla bağlantılıydı ve ayrıca sahne arkasında daha kapsamlı bir altyapıya işaret eden Tycoon2FA Kimlik avı araç seti ile kullanıldı.
Mart ayında gördüğümüz saldırıların ortak bir yanı vardı: Geçmiş kullanıcıları ve güvenlik araçlarını atmak için güvenilir isimleri ve platformlardan yararlandılar. Bu her yerde kuruluşlar için bir uyandırma çağrısı.
İşte neden hızlı, uygulamalı tehdit analizi her zamankinden daha önemli:
- Popüler web siteleri ve markalar yem olarak kullanılıyor
Booking.com’dan Microsoft’a, saldırganlar insanların güvendiği siteleri taklit ediyor.
- Yönlendirmeleri ve sahte uygulamaları yakalamak daha zordur
Bu kampanyaların çoğu çok geç olana kadar antivirüs araçları tarafından fark edilmiyor.
- Bir çalışanın hatası tüm şirketinizi ortaya çıkarabilir
Tek bir veri hırsızlığı dahili sistemlere, hesaplara ve hassas verilere erişim açabilir.
Bu nedenle ekibinize şüpheli dosyaları ve bağlantıları araştırmak için doğru araçlar vermek kritiktir.
Herhangi bir.Run’un etkileşimli sanal alan Windows, Linux ve Android sistemlerindeki tehditleri hızlı ve güvenli bir şekilde analiz etmek için güvenli, bulut tabanlı bir ortam sağlar. Ekibiniz bir saldırının nasıl ortaya çıktığını, ağ etkinliğini yakaladığını ve IOC’leri gerçek zamanlı olarak toplayabilir.
Tehditler Bırılmadan Önce İşinizi Koruyun -> Herkesin 14 günlük denemenizi başlatın.