Siber suçlular Screenconnect sıçanını (uzaktan erişim Truva atı) dağıtmak ve kullanıcı bilgisayarlarından ödün vermek için sahte Sosyal Güvenlik İdaresi e -postaları kullanıyor.
Siber güvenlik uzmanları, suçluların ABD Sosyal Güvenlik İdaresi’nden (SSA) kullandıkları, insanları bilgisayarlarında Screenconnect adı verilen tehlikeli bir uzaktan erişim Truva atı (sıçan) kurmaya kandırmak için devam eden planları ortaya çıkardılar. Kurulduktan sonra, bu program saldırganlara tam uzaktan kumanda sağlar ve kişisel bilgileri çalmalarına ve daha zararlı yazılımlar yüklemelerine izin verir.
Malwarebebytes’teki araştırmacılar ilk olarak insanlara “Sosyal Güvenlik beyanlarının artık mevcut olduğunu” bildiren bu sahte e -postaları fark ettiler ve onları bir ek indirmeye veya görüntülemek için bir bağlantıyı tıklamaya çağırdı. Bu e -postalar çok gerçek görünecek şekilde tasarlanmıştır, bu da insanların sahte olduklarını söylemelerini zorlaştırır.
Bu e -postalardaki bağlantılar veya ekler, screenconnect istemcisini yükleyen bir dosyanın indirilmesine yol açar. İnsanların güvenli olduğunu düşündürmek için, bu dosyalara bazen yanıltıcı isimler verilir.ReceiptApirl2025Pdfc.exe” veya “SSAstatment11April.exe. “
ScreAnconnect, şirketler tarafından BT desteği için kullanılan gerçek bir araçtır ve teknisyenlerin kullanıcılara uzaktan yardımcı olmasına izin verir. Ancak, suçluların elinde çok tehlikeli hale geliyor. Screenconnect aracılığıyla bir bilgisayarı kontrol ettikten sonra, dosyalara bakabilir, programları çalıştırabilir ve banka detayları ve kişisel kimlik numaraları gibi hassas verileri çalabilirler. Bunun arkasındaki suçlular, bazen Molatori Grubu olarak adlandırılan, öncelikle finansal sahtekarlık yapmak istiyorlar.
Cofense’deki güvenlik uzmanları, SSA’yı taklit eden benzer kimlik avı kampanyaları da bildirdi. E -postalar genellikle eşleşmeyen bağlantıları kullanarak veya düğmelerin arkasındaki kötü niyetli bağlantıları gizleyerek güncellenmiş bir avantaj ifadesi sağladığını iddia etti.
Cofense araştırmacıları, “E -postanın örnekten örneğe tam yapısı değişirken, kampanya sürekli olarak bir Connectwise sıçan yükleyicisine gömülü bir bağlantı sunuyor” dedi.
Bulguları, bu sahte e -postaların, ConnectWise Control (eski adıyla ScreAnconnect) yazılımının lekeli bir versiyonu olan ConnectWise bir sıçan yüklemeyi amaçladığını gösterdi. Bu kampanya, 2024 ABD cumhurbaşkanlığı seçimlerine yol açan faaliyette bir artış gördü ve Kasım 2024’ün ortalarında zirve yaptı.
Bu saldırıları tespit etmek için zorlaştıran şey, suçluların nasıl faaliyet gösterdiğidir. Genellikle bu kimlik avı e -postalarını tehlikeye atılan web sitelerinden göndererek e -posta adreslerinin meşru görünmesini sağlarlar. Ayrıca e -posta içeriğini sık sık bir resim olarak gömürler, bu da e -posta filtrelerinin zararlı mesajları okuyabilmesini ve engellemesini engeller. Ayrıca, ScreAnconnect yaygın olarak kullanılan bir program olduğundan, normal antivirüs yazılımı bunu otomatik olarak bir tehdit olarak işaretlemeyebilir.
Bu, suçluların meşru uzaktan erişim araçlarını ilk kez kötüye kullanmadığı için değil. Hackread.com’un daha önce bildirdiği gibi, ConnectWise sıçanını yaymak için sahte LinkedIn e -postalarında benzer taktikler kullanılmıştır.
Bu sahte mesajlar, ikna edici görünmek için eski tasarımları kullanarak gerçek Inmail bildirimlerini taklit etti. Siber suçlular ayrıca bilgi çalmak için iyi bilinen markaları taklit eden sofistike kimlik avı e-postaları kullanıyor.
Örneğin, yakın tarihli bir kampanya, havayolundan gerçek pazarlama mesajları gibi görünmek için tasarlanmış sahte e -postalarla Avustralya havayolu Qantas’ı hedef aldı. Cofense Intelligence tarafından keşfedilen bu e -postalar, kullanıcıları kredi kartı ayrıntılarını ve kişisel bilgilerini vermeleri için kandırdı.