Android ve Windows kullanıcıları, cihazlara Android için SpyNote RAT, NjRAT ve DCRat gibi kötü amaçlı kötü amaçlı yazılımlar bulaştıran Google Meet, Zoom ve Skype gibi sahte çevrimiçi toplantı sitelerine karşı dikkatli olun.
Zscaler'in ThreatLabz siber güvenlik araştırmacıları, Uzaktan Erişim Truva Atlarının (RAT'lar) çevrimiçi toplantı platformları aracılığıyla dağıtıldığı ve kötü amaçlı yazılımlarla Android ve Windows kullanıcılarını hedef alan yeni bir dolandırıcılık keşfetti. Amaç, hassas verileri çalabilecek ve virüslü cihazları kontrol edebilecek kötü amaçlı yazılım dağıtmaktır.
Araştırmacılar, Aralık 2023'te Android için SpyNote RAT ve Windows için NjRAT ve DCRat dahil olmak üzere kötü amaçlı yazılım yaymaya yönelik sahte web siteleri oluşturan bir tehdit aktörünü keşfetti. Bu RAT'lar, gizli bilgileri çalabilir ve tuş vuruşlarını günlüğe kaydedebilir. Kullanıcılar, Skype, Google Meet ve Zoom gibi markaların kimliğine bürünen sahte çevrimiçi toplantı siteleri aracılığıyla kandırılıyor.
Oyuncu, tüm sahte siteleri Rusça tek bir IP adresinde ve gerçek web sitelerine çok benzeyen URL'lerde barındıran paylaşımlı web barındırma kullandı. Saldırganlar, bu sahte web sitelerini kullanarak çok sayıda kötü amaçlı yazılım ailesi dağıtarak masum kullanıcılar için önemli bir tehdit oluşturdu.
Yazılımı indirmek için kullanıcıların Android veya Windows düğmelerini tıklaması gerekir. Android'e tıkladıklarında kötü amaçlı bir APK dosyası indiriliyor, Windows düğmesine tıklandığında ise görevleri otomatikleştiren ve RAT verisi indirmek gibi ek eylemler gerçekleştiren bir BAT dosyasının indirilmesi tetikleniyor.
Meşru çevrimiçi toplantı platformlarını taklit eden bir kampanya, sahte sitelerin görünümlerini ve işlevlerini taklit etmesi nedeniyle önemli bir tehdittir. Aralık ayında, Zscaler'in bir blog yazısında belirttiği gibi, sahte bir Skype sitesi join-skypeinfo, kullanıcıları uygulamayı indirmeleri için kandırmak amacıyla oluşturuldu ve bu siteye bir BAT dosyası ve bir WinRAR arşiv dosyası sunuldu.
Sahte Google Meet sitesi online-cloudmeetingpro, katılma bağlantısına benzeyen bir alt yolda barındırılıyordu. Sahte Zoom sitelerinde, dolandırıcılığın kurbanı olma riskini artıran, orijinal Zoom toplantı kimliklerine sahip URL'ler bulunur.
Bu sahte web siteleri aynı zamanda NjRAT çalıştırılabilir dosyalarının bulunduğu açık bir dizin de içeriyordu; bu da saldırganın bunları başka kampanyalarda kullanabileceğini gösteriyor.
Bu tür kampanyaların yıkıcı sonuçları olabilir. RAT'lar cihazların güvenliğini tehlikeye atarak saldırganların hassas bilgileri çalmasına, kullanıcı etkinliğini izlemesine ve potansiyel olarak virüslü cihazı kontrol etmesine olanak tanıyabilir.
Kendinizi korumak için URL'leri bir kez daha kontrol edin, toplantı davetiyelerini doğrulayın, resmi kaynaklardan yazılım indirin ve virüsten koruma ve kötü amaçlı yazılımdan koruma yazılımı kullanın. Sahte web sitelerine karşı dikkatli olun, toplantı davetlerini doğrulayın ve resmi kaynaklardan uygulama indirin.
İLGİLİ KONULAR
- Konni RAT, Windows'tan Veri Çalmak İçin Word Belgelerinden Yararlanıyor
- Sahte Chrome Tarayıcı Güncellemesi NetSupport Manager RAT'ı Yüklüyor
- Bifrost RAT Varyantı Linux Cihazlarını Hedefliyor, VMware Etki Alanını Taklit Ediyor
- AsyncRAT, GIF'ler ve SVG'ler Aracılığıyla Önemli ABD Altyapısına Sızıyor
- Popüler Android Ekran Kaydedici iRecorder Uygulamasının Truva Atı Olduğu Ortaya Çıktı