Covid-19 pandemi sonrasında, Microsoft Teams, Zoom ve Webex gibi işbirlikçi araçlar, uzaktan çalışma için vazgeçilmez hale geldi ve meslektaşları ve müşterileriyle sorunsuz iletişim sağladı.
Bununla birlikte, yaygın olarak benimsenmeleri de onları siber suçlular için temel hedefler haline getirmiştir.
Zoom’un popülaritesinden yararlanan yeni bir kimlik avı kampanyası, kullanıcıları meşru bir güncelleme kisvesi altında kötü amaçlı yazılımlar indirmeye kandırdı.
.png
)
Bir Zoom toplantısı için aldatıcı bir e -posta davetiyle teslim edilen bu saldırı, saldırganların yaygın olarak kullanılan platformlarda güvenden yararlanmak için kullandıkları gelişen taktikleri vurgular.
Kimlik avı kampanyası uzak çalışanları hedefliyor
Saldırı, sahte bir zoom toplantı daveti içeren görünüşte zararsız bir e -posta ile başlar.
“Birleştir” düğmesine tıklamak, kullanıcıyı en son Zoom istemcisini yüklemesini isteyen kötü olmayan bir HTML sayfasına yönlendirir.
Bu sosyal mühendislik taktiği, bu tür araçlar için ortak bir gereklilik olan güncel kalmak için aciliyeti avlar.
Ancak, İndir düğmesine tıklamak, “Session.clientsetup.exe” (SHA256: F5E467939F8367D084154E1FEFC87203e26ec711dbfa83217308e4f2be9d58Be) adlı kötü amaçlı bir yürütülebilir dosyalar sunar.
Rapora göre, bu dosya bir indirici görevi görür ve kurbanın sistemine çok daha sinsi bir yük kullanır.
Bir MSI paketini geçici bir dizine (C: \ Users \ Admin \ AppData \ local \ temp \ screenconnect \ 25.2.9229 \ 84cae30d9bf18843 \ 84cae30d9bf18843 \ 84cae30d9bf1843 \ 84Cae30d9bf1843) ve commanda: “c: \ \ \ \ \ \ \ \ command:“ c: \ system32) kullanarak yürütür: “c: \ system” [path_to_MSI].
Bu otomatik kurulum işlemi, kötü amaçlı yazılımın derhal şüphe yaratmadan kendini yerleştirmesini sağlar.
Masum tıklamadan tam sistem uzlaşmasına kadar
Kurulduktan sonra, araç “screenconnect.clientservice.exe” olarak başlatılır ve saldırgan için uzun vadeli erişim sağlayarak kalıcı bir hizmet olarak çalışacak şekilde yapılandırılır.
BT desteği için sıklıkla kullanılan meşru bir uzaktan erişim aracı olan screenconnect, saldırganlara tehlikeye atılan sisteme sınırsız erişim vermek için bu bağlamda silahlandırılmıştır.
Yapılandırma, TQTW21AA’ya işaret eden bir komut ve kontrol (C2) sunucu kurulumu içerir[.]anondns[.]Net (IP: 151[.]242[.]63[.]139) 8041 bağlantı noktasında, enfekte makine üzerinde uzaktan iletişim ve kontrol sağlar.
Yürütme dizisi içindeki şifrelenmiş parametreler, saldırganın niyetlerini daha da gizleyerek algılamayı derin analiz olmadan zorlaştırır.
Bu kurulum sadece mağdurun gizliliğinden ödün vermekle kalmaz, aynı zamanda veri hırsızlığı, fidye yazılımı dağıtım veya daha fazla ağ sızmasına da açılır.
Bu olay, Zoom gibi güvenilir platformlara bağlı olanlar bile, istenmeyen e -postalarla etkileşime girerken veya istemleri indirirken kritik uyanıklık ihtiyacının altını çiziyor.
Siber suçlular giderek daha fazla HTML tabanlı kimlik avı taktiklerini ve geleneksel güvenlik önlemlerini atlamak için screenconnect gibi meşru araçlardan yararlanıyor.
Bu tür tehditlere karşı korumak için kullanıcılar, harekete geçmeden önce herhangi bir toplantı davetinin veya yazılım güncellemesinin gerçekliğini doğrulamalıdır.
Endpoint için Microsoft Defender gibi uç nokta koruma çözümleri kullanmak, yazılımı düzenli olarak güncellemek ve çalışanları kimlik avı taktikleri hakkında eğitmek, bu riskleri azaltmada temel adımlardır.
Uzaktan çalışma modern işyerini şekillendirmeye devam ettikçe, bu tür sofistike saldırıların önünde kalmak, hem teknik savunmayı hem de beklenmedik dijital etkileşimlere yönelik sağlıklı bir şüphecilik dozunu gerektirir.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun