Bir tehdit aktörü sahte Skype yaratıyor Google Meetve Zoom toplantıları, bu popüler işbirliği uygulamalarını taklit ederek çeşitli emtia kötü amaçlı yazılımı Bu, hem Android hem de Windows kullanıcılarından hassas verileri çalabilir.
Aralık ayında başlayan kampanya, Kurumsal kullanıcılar için ortaya çıkan siber güvenlik tehdidiZcaler's ThreatLabz araştırmacıları, 6 Mart'taki bir blog yazısında şunu ortaya çıkardı: Saldırganlar, sahte çevrimiçi toplantı sitelerini tek bir IP adresinde barındırmak için paylaşılan Web barındırma kullanıyor ve kimliğine bürünülen hizmetlerin gerçek web sitelerine yeterince benzer olan çeşitli URL'lerden yararlanıyor . Örneğin Skype kampanyasında “skype'a katıl” kullanıldı[.]bilgi”, Google Meet kullanıcıları ise “çevrimiçi bulut toplantısı” aracılığıyla toplantılara katılmaya ikna edildi[.]profesyonel.” Yakınlaştır kampanyada “us06webzoomus” kullanılıyor[.]profesyonel.”
Tehdit aktörleri, Android odaklı SpyNote RAT'ı kullanarak platformlar arası kullanıcılara saldırmak için yaygın olarak kullanılabilen veriler sunmak amacıyla kumarı kullanıyor. NjRAT Ve DCRatAraştırmacılar, Windows kullanıcılarını tehlikeye atan .
ThreatLabz araştırmacıları Himanshu Sharma, Arkaprva Tripathl ve Meghraj Nandanwar, kampanyayla ilgili yazılarında “Bir tehdit aktörü, Android ve Windows için gizli bilgileri çalabilen, tuş vuruşlarını günlüğe kaydedebilen ve dosyaları çalabilen RAT'ları dağıtmak için bu yemleri kullanıyor.” dedi.
Kullanıcıları Skype ve Google Meet ile cezbetme çabaları Aralık ayında başladı ve saldırgan, Ocak ayında Zoom'un kimliğine bürünmeye başladı.
Sahte Toplantı, Uzlaşmaya Tıklama Teklifini Davet Ediyor
Her harekâtın kendine özgü bir cazibesi olduğu gibi, her saldırı vektörünün uygulanması da benzersizdi ve aralarında bazı benzerlikler vardı. Skype kampanyasında bağlantı, Windows kullanıcılarını Skype indirmesi gibi görünen kötü amaçlı bir yürütülebilir dosya olan Skype8.exe adlı bir dosyaya yönlendirirken, Google Play aracılığıyla bağlantıya tıklayanlar kötü amaçlı Skype.apk dosyasına yönlendiriliyordu. Her iki dosya da sonuçta kötü amaçlı bir yük sağlar.
Sahte Google Meet sitesi, Android (gerçekte SpyNote RAT) ve/veya Windows (DCRat yükünü indiren bir BAT dosyası) için sahte bir Skype uygulamasını indirmek için bağlantılar sağlar.
Sahte Zoom sitesi, kullanıcıları kandırmak için ekstra bir hile kullanması ve Zoom istemcisi tarafından oluşturulan toplantı kimliğine çok benzeyen bir alt yola sahip bir bağlantı sunması bakımından biraz farklıdır.
Sahte Google Meet ile arasında da bir benzerlik var. Yakınlaştır Her ikisi de NjRAT'ı gizleyen iki ek Windows yürütülebilir dosyası (driver.exe ve meet.exe) içeren açık bir dizin içerir.
Araştırmacılar, “Bu dosyaların varlığı, saldırganın bunları farklı adlarla başka kampanyalarda kullanabileceğini gösteriyor” dedi.
Ticari Kullanıcıları Gelişen Siber Tehditlerden Koruma
İşletmelerin kendilerini koruyabilmeleri için “gelişmiş ve gelişmiş hastalıklara karşı korunmaya yönelik” önlemler almaları önemlidir. gelişen kötü amaçlı yazılım tehditleriThreatLabz'a göre.
Bu amaçla araştırmacılar, saldırganlara kullanıcıları tehlikeye atmak için daha az giriş noktası sağlamak amacıyla düzenli güncellemelerin ve güvenlik yamalarının önemini vurguladı. Ayrıca gönderiye, araştırma sırasında yürütülen sanal alan analizi sürecinde tetiklenen belirli MITRE ATT&CK tekniklerinin bir listesini de eklediler.