Microsoft, kötü amaçlı yazılımları dağıtmak ve kimlik bilgilerini çalmak için vergi ile ilgili temalardan yararlanan çeşitli kimlik avı kampanyalarını uyarıyor.
Hacker News ile paylaşılan bir raporda Microsoft, “Bu kampanyalar, kötü niyetli eklerde bulunan URL kısaltmaları ve QR kodları gibi yeniden yönlendirme yöntemlerini ve algılamayı önlemek için dosya barındırma hizmetleri ve iş profili sayfaları gibi meşru hizmetleri kötüye kullanıyor.” Dedi.
Bu kampanyaların dikkate değer bir yönü, ilk olarak Aralık 2024’ün başlarında ortaya çıkan bir e-suç platformu olan Raccoono365 kodlu bir Hizmet Olarak Kimlik Yardımı (PHAAS) platformu aracılığıyla teslim edilen kimlik avı sayfalarına yol açmalarıdır.
Ayrıca Remcos Rat gibi uzaktan erişim Truva atları (sıçanlar), ayrıca Latrodectus, Ahkbot, Guloader ve Bruteratel C4 (BRC4) gibi diğer kötü amaçlı yazılım ve sömürü sonrası çerçeveler de sunulur.
6 Şubat 2025’te teknoloji devi tarafından tespit edilen böyle bir kampanyanın, BRC4 ve Latrodectus’u teslim etmeye çalışan vergi dosyalama sezonundan önce ABD’yi hedefleyen yüzlerce e -posta gönderdiği tahmin ediliyor. Etkinlik, daha önce Bazaloader, Icedid, Bumblebee ve Emotet’i dağıttığı bilinen bir başlangıç erişim komisyoncusu olan Storm-0249’a bağlandı.
Saldırılar, kullanıcıları yeniden markalı olarak kısaltılmış bir URL’ye yönlendiren bir bağlantı içeren PDF eklerinin kullanımını içerir ve sonuçta bunları belgeyi görüntüleme veya indirme seçeneği ile sahte bir Docusign sayfasına götürür.
Microsoft, “Kullanıcılar açılış sayfasındaki indirme düğmesini tıkladığında, sonuç, sistem ve IP adreslerinin tehdit oyuncusu tarafından kurulan filtreleme kurallarına dayanarak bir sonraki aşamaya erişmesine izin verip vermediğine bağlıydı.” Dedi.
Erişime izin verilirse, kullanıcıya daha sonra Latrodectus’u dağıtmak için bir kanal görevi gören BRC4 için bir Microsoft Yazılım Yükleyicisi (MSI) indiren bir JavaScript dosyası gönderilir. Mağdur yeterince değerli bir hedef olarak kabul edilmezse, onlara royalegroupnyc’den iyi huylu bir PDF belgesi gönderilir[.]com.
Microsoft, vergi temalı kimlik avı e-postalarının ABD’deki 2.300’den fazla kuruluşa, özellikle mühendislik, BT ve danışmanlık sektörlerine yönelik 2.300’den fazla kuruluşa gönderildiği ikinci bir kampanya tespit ettiğini söyledi.
Bu durumda e -postaların mesaj gövdesinde içeriği yoktu, ancak Microsoft 365 oturum açma sayfalarını kullanıcıları kimlik bilgilerini girmek için kandırmak için taklit eden Raccoono365 PHAA’larla ilişkili bir bağlantıya işaret eden bir QR kodu içeren bir PDF eki içeriyordu.
Bu kampanyaların çeşitli şekillerde geldiğine dair bir işarette, vergi temalı kimlik avı e-postaları Ahkbot ve Guloader gibi diğer kötü amaçlı yazılım ailelerini yaymak olarak da işaretlendi.
Ahkbot enfeksiyon zincirleri, kullanıcıları, makroları açıp etkinleştirdikten sonra, bir Autohotkey komut dosyası başlatmak için bir MSI dosyasını indirip çalıştıran ve daha sonra bir ekran görüntüsünü indirmek için bir ekran görüntüsünü indirmek için bir ekran görüntüsünü indirmek ve uzak bir sunucuya eklemek için bir ekran görüntüsü indirmek ve çalıştıran sitelere yönlendirdiği bulunmuştur.
Guloader kampanyası, kullanıcıları bir PDF e -posta eki içinde mevcut bir URL’ye tıklamaya kandırmayı amaçlamaktadır ve bu da bir zip dosyasının indirilmesine neden olur.
Microsoft, “Zip dosyası, vergi belgelerini taklit etmek için ayarlanmış çeşitli .lnk dosyaları içeriyordu. Kullanıcı tarafından başlatılırsa, .lnk dosyası bir PDF ve .bat dosyası indirmek için PowerShell kullanıyor.” Dedi. “
Geliştirme, Microsoft’un Bruteratel Red-Teaming Aracı aracılığıyla Latrodectus Loader kötü amaçlı yazılımının güncellenmiş bir sürümünü sunmak için kullanıcıları sahte web sitelerine yönlendiren başka bir Storm-0249 kampanyası uyarmasından haftalar sonra geliyor.
Microsoft, X’teki bir dizi yayında, “Tehdit oyuncusu Facebook’u sahte Windows 11 Pro indirme sayfalarına trafik çekmek için kullandı, çünkü Facebook yönlendirici URL’lerini birden fazla durumda gözlemlediğimiz için,” dedi.
“İlk olarak Şubat 2025’te gözlemlenen kötü amaçlı yazılımların en son evrimi olan Latrodectus 1.9, kalıcılık için planlanan görevi yeniden tanıttı ve 23 komutunu ekleyerek ‘cmd.exe /c.’
Açıklama ayrıca, Avrupa ve ABD’ye yönelik yaygın saldırıların bir parçası olarak kötü niyetli URL’leri gizlemek için kimlik avı belgelerinde QR kodlarını kullanan kampanyalarda bir artış izlemektedir.
Palo Alto Networks Birimi 42 bir raporda, “Bu kampanyalardaki QR kodlarından çıkarılan URL’lerin analizi, saldırganların tipik olarak doğrudan kimlik avı alanına işaret eden URL’ler dahil olmaktan kaçındığını ortaya koyuyor.” Dedi. “Bunun yerine, genellikle URL yönlendirme mekanizmalarını kullanırlar veya meşru web sitelerinde açık yönlendirmelerden yararlanırlar.”
Bu bulgular ayrıca son haftalarda işaretlenen çeşitli kimlik avı ve sosyal mühendislik kampanyalarının ardından geliyor –
- Karşı-Strike 2’nin oyuncularını, bu hesaplara kâr için erişimi yeniden satma amacıyla buhar kimlik bilgilerini girmeye yönlendiren görünüşte gerçekçi tarayıcı pop-up’larını sunmak için tarayıcıdaki tarayıcı (BITB) tekniğinin kullanımı
- Tehdit aktörlerinin e -posta mesajlarını toplu olarak göndermelerine izin vererek, MailChimp hesaplarını ele geçirmek için bilgi çalma kötü amaçlı yazılım kullanımı
- SVG dosyalarının spam filtrelerini atlamak ve kullanıcıları sahte Microsoft Oturum Açma Sayfalarına yönlendirmek için kullanımı
- Güvenli e -posta ağ geçitlerini (SEG’ler) ve çalmak için Adobe, Docusign, Dropbox, Canva ve Zoho gibi güvenilir işbirliği hizmetlerinin kullanımı ve kimlik bilgilerini çalmak
- Hasat Kimlik Bilgileri ve Ödeme Bilgileri Amaçlı Spotify ve Apple Music gibi Müzik Akışı Hizmetlerini Sahtekarlık E -postaların Kullanımı
- Windows ve Apple Mac cihazlarındaki şüpheli etkinliklerle ilgili sahte güvenlik uyarılarının kullanımı, kullanıcıları sistem kimlik bilgilerini sağlamaya kandırmak için sahte web sitelerinde
- Deepseek, I4Tools ve YouDao Sözlüğü Masaüstü Sürümü için Truva Alanları Dağıtan Sahte Web Sitelerinin Kullanımı GH0ST SATIŞ
- İspanyol şirketlerini hedefleyen faturalandırma temalı kimlik avı e-postalarının kullanımı DarkCloud adlı bir bilgi stealer dağıtmak için
- Romanya’da bulunan MassLogger hedefleme organizasyonları adlı bir bilgi stealer’ı dağıtmak için bir Roman bankasını taklit eden kimlik avı e -postalarının kullanımı
Bu saldırıların sağladığı riskleri azaltmak için, kuruluşların kullanıcılar için kimlik avına dirençli kimlik doğrulama yöntemlerini benimsemesi, kötü amaçlı web sitelerini engelleyebilen tarayıcılar kullanması ve uygulamaların veya kullanıcıların kötü niyetli alanlara erişmesini önlemek için ağ korumasını etkinleştirmesi önemlidir.