Son zamanlarda sofistike siber saldırılar artışında, tehdit aktörleri, kullanıcıları kötü niyetli PowerShell komutları yürütmeye kandırmak için sahte captcha zorluklarını kullanıyor ve kötü amaçlı yazılım enfeksiyonlarına yol açıyor.
Mart 2025 için HP Wolf Güvenlik Tehdit Analizleri raporunda vurgulanan bu taktik, potansiyel kurbanları doğrulama adımlarını tamamlamaları istenen kötü amaçlı web sitelerine yönlendirmeyi içerir.
Bu adımlar izlendikten sonra, kullanıcılar, kripto para cüzdanları gibi hassas verileri çalabilen yaygın bir bilgi stealer olan Lumma Stealer gibi kötü amaçlı yazılımları indirip yükleyen PowerShell komut dosyalarını yanlışlıkla kopyalayıp çalıştırırlar.
Captcha zorluklarıyla kullanıcı güvenini kullanmak
Saldırganlar, meşru görünen sahte captcha zorlukları yaratarak kullanıcı güvenini kullanıyor.
Bu zorluklar genellikle web reklamları, arama motoru optimizasyonu kaçırma veya tehlikeye atılan sitelerden yönlendirme yoluyla karşılaşılır.
Captcha görevlerini tamamladıktan sonra, kullanıcılar Windows Run istemi açmaya ve kötü niyetli PowerShell komutlarını yürütmeye kandırılır.
Bu komutlar, daha sonra kurbanın cihazına çıkarılan ve yüklenen baz64 kodlu zip arşivleri içeren büyük komut dosyalarını indirir.
Kötü amaçlı yazılım, güvenilir süreçlerden geçerek algılamadan kaçmak için DLL kenar yükleme gibi teknikleri kullanır.
Diğer ortaya çıkan tehditler
Silahlı captchas’a ek olarak, saldırganlar da kötü amaçlı yazılımları yaymak için diğer yenilikçi yöntemlerden yararlanıyorlar.
Örneğin, ölçeklenebilir vektör grafikleri (SVG) görüntüleri, kötü niyetli JavaScript kodu gömmek için kullanılmış ve saldırganların uzaktan erişim truva atlarını (sıçanlar) ve bilgi çalıcılarını dağıtmasına izin verir.
Bu kampanyalar genellikle Python’un AI ve veri biliminde yaygın kullanımı nedeniyle saldırganlar arasında giderek daha popüler olan gizlenmiş python senaryolarını içermektedir.
Bir başka dikkate değer tehdit, VIP Keylogger kötü amaçlı yazılımları ile Asya Pasifik bölgesindeki mühendislik şirketlerini hedeflemek için kullanılan kötü niyetli PDF belgelerini içermektedir.
Bu PDF’ler alıntı talepleri olarak gizlendi ve kullanıcıları kötü niyetli yürütülebilir dosyaları indirmeye ve yürütmeye kandırdı.
Bu sofistike tehditlerin yükselişi, sağlam uç nokta güvenlik önlemlerinin öneminin altını çizmektedir.
İşletmeler, pano paylaşımı ve Windows Run istemine erişimi kısıtlamak gibi gereksiz özellikleri devre dışı bırakmak da dahil olmak üzere, bu tür saldırıları azaltmak için uyanık kalmalı ve stratejiler uygulamalıdır.
Ayrıca, güvenlik yazılımını güncel tutmak ve tehdit istihbarat hizmetlerinden yararlanmak, kuruluşların gelişen siber tehditlerin önünde kalmasına yardımcı olabilir.
Gerçek dünyadaki kötü niyetli bağlantıları ve kimlik avı saldırılarını araştırın Tehdit İstihbarat Arama – Ücretsiz dene