Yeni ve büyük bir tehdit, orijinal bir Microsoft Teams yükleyicisine benzeyen bir uygulamanın içine tehlikeli bir program gizleyerek sıradan bilgisayar kullanıcılarını hedef alıyor. İstiridye (veya bazen Broomstick) olarak bilinen bu kötü amaçlı program, siber suçlulara kurbanın bilgisayarına gizli, uzun vadeli erişim sağlayan bir arka kapıdır. Güvenlik grubu Blackpoint Cyber’in Advisory Pursuit ekibi bu yaygın kampanyayı aktif olarak izliyor ve ayrıntılarını Hackread.com ile paylaştı.
Saldırı Nasıl Çalışır?
Saldırganlar, kullanıcıların kötü amaçlı dosyalarını indirmelerini sağlamak için arama motorlarında iki aşamalı bir hile kullanır. İlk olarak, sahte indirme sayfalarının arama sonuçlarında üst sıralarda yer almasını sağlamak için SEO zehirlemesini kullanıyorlar. İkincisi, kötü amaçlı reklamcılık kullanıyorlar; bu, insanlar “Takım indirme” araması yaptığında ortaya çıkan kötü amaçlı reklamlar için ödeme yapmak anlamına geliyor. Sonuçta birçok kişi gördükleri ilk birkaç sonuca güvenir.
Bu sahte bağlantılardan birine tıklarsanız sahte bir web sitesine yönlendirilirsiniz. Gözlemlenen alanlardan biri teams-install.top. Oraya vardığınızda, MSTeamsSetup.exe adlı bir dosyayı indirmeniz için kandırılırsınız.
Daha ayrıntılı incelemeler, suçluların sahte yükleyicilerini, dosyanın meşru görünmesini sağlamak ve temel güvenlik kontrollerini atlatmak için 4th State Oy ve NRM NETWORK RISK MANAGEMENT INC. gibi şirketler tarafından verilen güvenilmez sertifikalarla bile imzaladıklarını ortaya çıkardı. Bu dosyayı çalıştırdığınızda, Oyster arka kapısı sessizce kendini yükler ve şüpheyi önlemek için gerçek Microsoft Teams programı da başlatılabilir.
İstiridye: Görünmez Casus
Oyster, Komuta ve Kontrol (C2) iletişimi kuran çok yönlü bir kötü amaçlı yazılımdır. Bilginiz olsun diye söylüyorum, C2 temelde saldırganların ele geçirilen makineye kendi sunucularından talimatlar göndermesine olanak tanıyan gizli bir iletişim hattıdır.
Araştırma, saldırgan tarafından kontrol edilen bu sunucuların örneklerini belirledi: nickbush24.com veya techwisenetwork.com. Bu uzaktan kumanda, sisteminiz hakkında bilgi toplamalarına ve hatta daha fazla zarar veren virüsleri yaymalarına olanak tanır.
Kötü amaçlı yazılım, uzun vadeli erişimi sürdürmek için gizlice makinede CaptureService adında yinelenen bir “zamanlanmış görev” oluşturur. Gizli bir kötü amaçlı dosyaya bağlıdır ve yeniden başlatma sonrasında bile bağlantının yeniden başlayacağını garanti eder.
Kötü amaçlı yazılımın normal bilgisayar faaliyetlerine kolayca karışabilmesi, hatta bazı iyi bilinen güvenlik programlarını geçmeyi başarabilmesi nedeniyle bu özel saldırının etkili olduğunu belirtmekte fayda var.
Bu tür bir saldırı yeni değil ve Blackpoint Cyber’in Tehdit Operasyonları Direktörü Jason Barnhizer’e göre, “bu etkinlik daha önceki sahte PuTTY kampanyalarını yansıtıyor ve düşmanların ilk erişim elde etmek için güvenilir yazılım markalarını silahlandırma yönünde süregelen bir eğilimin altını çiziyor.”
Blackpoint Cyber araştırmacıları herkese yazılımı dikkatli bir şekilde indirmelerini şiddetle tavsiye ediyor. Güvende kalmak için, arama sonuçlarında veya reklamlarda görünen bağlantılara rastgele tıklamak yerine her zaman doğrudan resmi satıcının web sitesine gitmeli (Microsoft’un gerçek etki alanı gibi) veya kayıtlı bir yer işaretini kullanmalısınız.
