ABD Sosyal Güvenlik İdaresi’nden (SSA) geliyormuş gibi sahte e -postalar, bir uzaktan erişim aracı olan screenconnect’i yüklemek için hedefler almaya çalışır.
Bu kampanya Malwarebytes Müşteri Destek ve Araştırma Ekipleri tarafından işaretlendi ve araştırıldı.
Daha önce ConnectWise Control olarak bilinen ScreAnconnect, BT desteğini ve sorun gidermeyi kolaylaştırmak için işletmeler tarafından yaygın olarak kullanılan bir uzaktan destek ve uzaktan erişim platformudur. Teknisyenlerin yazılım kurulumu, sistem yapılandırması ve sorunları çözmek için görevleri yerine getirmek için kullanıcıların bilgisayarlarına uzaktan bağlanmalarını sağlar.
ScreAnconnect tam uzaktan kumanda özellikleri sağladığından, erişimli yetkisiz bir kullanıcı bilgisayarınızı fiziksel olarak mevcut gibi çalıştırabilir. Bu, komut dosyalarını çalıştırmayı, komutları yürütmeyi, dosyaları aktarmayı ve hatta kötü amaçlı yazılım yüklemeyi içerir – hepsi de siz fark etmeden.
Bu, Screenconnect’i siber suçluların elinde tehlikeli bir araç haline getirir. Molatori olarak adlandırılan bir kimlik avı grubu – ScreAnconnect istemcisini barındırmak için kullandıkları alanlardan – Sosyal Güvenlik İdaresi’nden (SSA) gelmiş gibi görünen e -postalar göndererek ScreAnconnect istemcilerini yüklemeye zorladığı tespit edildi:
“Sosyal Güvenlik ifadeniz artık mevcut
İfadelerinizi elektronik olarak almayı seçtiğiniz için teşekkür ederiz.
Belgeniz artık indirilmeye hazır:
- Lütfen eki indirin ve sağlanan talimatları izleyin.
- Not: İfadeler ve belgeler yalnızca PC/Windows sistemleri ile uyumludur. ”
Bu postada dolaşımda bazı varyasyonlar vardır, ancak yukarıdaki örnek bu e -postaların nasıl meşru göründüğünü göstermektedir.
E -postadaki bağlantı, screenconnect support.client.exe’ye yol açar, ancak gibi birkaç yanıltıcı adın altında bulundu ReceiptApirl2025Pdfc.exeVe SSAstatment11April.exe.
Siber suçlular istemciyi hedefin bilgisayarına kurduktan sonra, uzaktan ona bağlanırlar ve derhal kötü niyetli faaliyetlerine başlarlar. Bankacılık detayları, kişisel kimlik numaraları ve gizli dosyalar gibi hassas bilgilere erişir ve sunarlar. Bu çalınan veriler daha sonra kimlik hırsızlığı, finansal sahtekarlık ve diğer zararlı eylemler yapmak için kullanılabilir. Uzmanlar finansal sahtekarlığı molatori grubunun birincil amacı olarak tanımlamışlardır.
Bu kampanyanın tespit edilmesini zorlaştıran birkaç koşul vardır:
- Siber suçlular, tehlikeye atılan WordPress sitelerinden kimlik avı e -postaları gönderir, böylece alanların kendileri meşru görünür ve kötü niyetli değil.
- E -posta içeriğini genellikle bir resim olarak gömerler, bu da e -posta filtrelerinin mesajı etkili bir şekilde taramasını ve engellemesini önlerler.
- ScreAnconnect, yetenekleri nedeniyle istismar edilen meşru bir uygulamadır.
Ne Yapabiliriz
İstenmeyen e -postalar alırken, kimlik avı için düşmekten kaçınmak için alabileceğiniz birkaç gerekli önlem vardır:
- Bağımsız kaynaklar aracılığıyla e -postanın kaynağını doğrulayın.
- Malik olmayan olduklarından emin olana kadar bağlantıları tıklamayın.
- Güvenli olduklarından emin olana kadar indirilen dosyaları veya ekleri açmayın.
- Güncel ve aktif bir kötü amaçlı yazılım önleme çözümü kullanın.
- Bir e -postanın meşru olmadığından şüpheleniyorsanız, mesajdan bir ad veya bir metin alın ve aynı yöntemleri kullanarak bilinen herhangi bir kimlik avı saldırısının olup olmadığını görmek için bir arama motoruna koyun.
Malwarebytes kullanıcıları korunur
MalwareBebytes, ScreAnconnect istemcisinin şüpheli örneklerini rissware.connectwise.cst olarak tespit edecektir.
Ve bu ilişkili alanlarla bağlantıları engeller:
- atmolatörler[.]YBÜ
- Gomolatörler[.]cyo
- molatoriby[.]cyo
- molatör[.]cyo
- molatör[.]YBÜ
- molatorist[.]cyo
- suçluluk[.]cyo
- moloriora[.]cyo
- moloriora[.]YBÜ
- moloripro[.]cyo
- moloripro[.]YBÜ
- molatoris[.]cyo
- molatoris[.]YBÜ
- onmolatörler[.]YBÜ
- Promolator[.]YBÜ
- Samolator[.]cyo
- Samolator[.]YBÜ
- aşağılama[.]YBÜ
Sadece veri gizliliği hakkında rapor vermiyoruz, kişisel bilgilerinizi kaldırmanıza yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. MalwareBebytes Kişisel Veri Kapatıcısı ile, hangi sitelerin kişisel bilgilerinizi açığa çıkardığını öğrenebilir ve ardından bu hassas verileri internetten silebilirsiniz.