COFENSE’den yeni bir rapor, siber suçluların, çift tehdit saldırılarında muck stealer, info stealer, connectwise sıçan ve SimpleHelp sıçan dahil olmak üzere kimlik avı ve kötü amaçlı yazılımları harmanladığını ve bunları savunmayı zorlaştırdığını ortaya koyuyor.
Bir siber tehdit istihbarat firması olan Cofense’deki siber güvenlik araştırmacılarına göre, tehdit aktörleri kimlik bilgisi avı ve kötü amaçlı yazılımları birleştirmeye başladı. Bu çift tehdit yaklaşımı, şirketlerin kendilerini tek bir saldırıya karşı savunmasını çok zorlaştırıyor.
Örneğin bir e -postanın bir zamanlar bir kimlik kimlik avı denemesi veya kötü amaçlı yazılım olduğu varsayıldı. Ancak şimdi suçlular yeni bir strateji kullanıyor. Her iki yöntemi de birleştirerek, bir şirket diğerine bir koruma alanına büyük yatırım yapmış olsa bile başarılı olabilirler.
Taktiklerin bir karışımı
Rapor, saldırganların bu kombine saldırıları başlatmak için birkaç farklı yöntem kullandıklarını ortaya koydu. Aralık 2024’teki bir kampanyada, saldırganlar önce bir kurbanın bilgisayarına Muck Stealer kötü amaçlı yazılım yükleyen kötü niyetli bir indirici kullandı. Kötü amaçlı yazılım daha sonra ek bilgi toplamak için sahte bir giriş sayfası başlattı. Araştırmacılara göre, bu HTML dosyası “Muck Stealer’ın faaliyetlerini gizleme yöntemi” olarak da hizmet etti.
Ocak 2025’teki başka bir kampanyada yaklaşım tersine çevrildi. Mağdurlar ilk olarak giriş bilgilerini girmeleri istenen bir kimlik kimlik avı sayfasına yönlendirildi. Bilgilerini girer girmez, bilgisayarlarına özelleştirilmiş bir bilgi çalma indirildi ve yüklendi. Araştırmacılar, suçluların kasıtlı olarak “iki katına çıktıklarını ve kurbanların Microsoft ofis kimlik bilgilerini çok özel olarak hedeflediklerini” belirtti.
Daha uyarlanabilir ve tehlikeli
Bir başka kayda değer kampanyada, tehdit aktörleri Amerikan Sosyal Güvenlik Ajansı’nı sahte olarak gördü. Bu faydalar temalı e-postalar, tıklandığında önce ConnectWise farını indiren ve daha sonra kurbanı kapsamlı bir kimlik avı sayfasına götüren gömülü bir bağlantı içeriyordu. Bu sayfa daha sonra kurbanın sosyal güvenlik numarası, annenin kızlık soyadı ve telefon taşıyıcı pimi de dahil olmak üzere kötü amaçlı yazılımın yapamayacağı belirli kişisel bilgileri topladı.
Raporda ayrıca, kötü amaçlı yazılım yükünün kurbanın cihazına bağlı olarak değiştirildiği ilginç bir kampanya detaylandırıldı. Örneğin, bir Windows bilgisayardan bir bağlantı, SimpleHelp Rat’ı (bir saldırganın bilgisayarı kontrol etmesini sağlayan bir yazılım türü) indiren sahte bir Microsoft Store sayfasına yol açarken, bir Android telefondaki aynı bağlantı, bu sistem için özel olarak tasarlanmış farklı bir kötü amaçlı yazılım sunacaktır.
Bu kampanyaların çoğunda ortak bir bağlantı, ConnectWise Rat’ın teslimatıdır. Hackread.com ile paylaşılan rapor, birden fazla saldırı yöntemine sahip olmanın, suçluların daha fazla bilgi toplamasına ve sadece bir tür tehdit türünü yakalamak için tasarlanmış güvenliği atlamasına izin verdiği ve siber suçluların nasıl çalıştığı konusunda kayda değer bir değişime işaret ettiği sonucuna varıyor.