Tehdit aktörleri, devam eden bir kötü amaçlı yazılım kampanyasının parçası olarak sahte Google Meet web sayfalarından yararlanıyor. TıklaDüzelt Windows ve macOS sistemlerini hedef alan bilgi hırsızları sunmak.
Fransız siber güvenlik şirketi Sekoia, The Hacker News ile paylaştığı bir raporda, “Bu taktik, kullanıcıları belirli bir kötü amaçlı PowerShell kodunu kopyalayıp çalıştırmaya ve sonunda sistemlerine bulaştırmaya ikna etmek için web tarayıcılarında sahte hata mesajları görüntülemeyi içeriyor.” dedi.
ClickFix (diğer adıyla ClearFake ve OneDrive Pastejacking) kampanyasının çeşitleri son aylarda geniş çapta rapor edildi; tehdit aktörleri, site ziyaretçilerini bir soruna yönelik olarak kodlanmış bir PowerShell kodunu çalıştırmaya teşvik ederek kullanıcıları kötü amaçlı yazılım dağıtmayı amaçlayan sahte sayfalara yönlendirmek için farklı tuzaklar kullanıyor. içeriğin web tarayıcısında görüntülenmesiyle ilgili sözde sorun.
Bu sayfaların Facebook, Google Chrome, PDFSimpli ve reCAPTCHA ve şimdi de Google Meet ve potansiyel olarak Zoom gibi popüler çevrimiçi hizmetler gibi göründüğü biliniyor.
- meet.google.us-join[.]iletişim
- meet.googie.com-join[.]biz
- meet.google.com-join[.]biz
- meet.google.web-join[.]iletişim
- meet.google.webjoining[.]iletişim
- meet.google.cdm-join[.]biz
- meet.google.us07host[.]iletişim
- güzel sürücüler[.]iletişim
- us01web-zoom[.]biz
- us002webzoom[.]biz
- web05-yakınlaştırma[.]biz
- web odası yakınlaştırma[.]biz
Windows’ta saldırı zinciri, StealC ve Rhadamanthys hırsızlarının konuşlandırılmasıyla doruğa ulaşırken, Apple macOS kullanıcılarına Atomic olarak bilinen başka bir hırsızı düşüren bubi tuzaklı bir disk görüntü dosyası (“Launcher_v1.94.dmg”) sunuluyor.
Ortaya çıkan bu sosyal mühendislik taktiği, kullanıcıların kötü amaçlı PowerShell komutunu kendileri tarafından indirilen ve yürütülen bir yük tarafından otomatik olarak çağrılmasının aksine, doğrudan terminalde manuel olarak çalıştırmasını gerektirdiğinden, güvenlik araçları tarafından tespit edilmekten akıllıca kaçınması açısından dikkate değerdir.
Sekoia, Google Meet’i taklit eden kümeyi, sırasıyla markopolo ve CryptoLove’un alt ekipleri olan Slavic Nation Empire (aka Slavice Nation Land) ve Scamquerteo olmak üzere iki trafik grubuna bağladı.
“Her iki traför takımı da […] Sekoia, “Google Meet’i taklit eden aynı ClickFix şablonunu kullanın” dedi. “Bu keşif, bu ekiplerin altyapının yanı sıra ‘iniş projesi’ olarak da bilinen malzemeleri de paylaştığını gösteriyor.”
Bu da her iki tehdit grubunun da henüz bilinmeyen aynı siber suç hizmetini kullanıyor olması ve altyapılarını muhtemelen üçüncü bir tarafın yönetmesi olasılığını artırdı.
Bu gelişme, Skuld ve Kematian Stealer’ın yanı sıra Divulge, DedSec (diğer adıyla Doenerium), Duck, Vilsa ve Yunit adlı yeni hırsız aileleriyle örtüşen açık kaynaklı ThunderKitty hırsızını dağıtan kötü amaçlı yazılım kampanyalarının ortaya çıktığı bir dönemde ortaya çıktı.
Siber güvenlik şirketi Hudson Rock, Temmuz 2024’te “Açık kaynaklı bilgi hırsızlarının yükselişi, siber tehditler dünyasında önemli bir değişimi temsil ediyor” dedi.
“Giriş engelini azaltarak ve hızlı inovasyonu teşvik ederek bu araçlar, yeni bir bilgisayar enfeksiyonu dalgasını tetikleyebilir, siber güvenlik profesyonelleri için zorluklar oluşturabilir ve işletmeler ve bireyler için genel riski artırabilir.”