Siber suçlular Agent Tesla ve Formbook kötü amaçlı yazılımlarıyla Polonyalı işletmeleri hedef alıyor


30 Tem 2024Ravie LakshmananKötü Amaçlı Yazılım / Siber Tehdit

Agent Tesla ve Formbook Kötü Amaçlı Yazılımı

Siber güvenlik araştırmacıları, Mayıs 2024’te Polonya’da küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedef alan ve Agent Tesla, Formbook ve Remcos RAT gibi çeşitli kötü amaçlı yazılım ailelerinin dağıtımına yol açan yaygın kimlik avı kampanyalarını ayrıntılı olarak açıkladı.

Siber güvenlik firması ESET’e göre, saldırıların hedef aldığı diğer bölgeler arasında İtalya ve Romanya da yer alıyor.

ESET araştırmacısı Jakub Kaloč bugün yayınlanan bir raporda, “Saldırganlar, daha önce ele geçirilmiş e-posta hesaplarını ve şirket sunucularını yalnızca kötü amaçlı e-postaları yaymak için değil, aynı zamanda kötü amaçlı yazılımları barındırmak ve çalınan verileri toplamak için de kullandılar” dedi.

Siber güvenlik

Dokuz dalgaya yayılan bu kampanyalar, son yükleri teslim etmek için DBatLoader (diğer adıyla ModiLoader ve NatsoLoader) adı verilen bir kötü amaçlı yazılım yükleyicisinin kullanılmasıyla dikkat çekiyor.

Slovak siber güvenlik şirketinin açıklamasına göre bu, 2023’ün ikinci yarısında gözlemlenen ve Remcos RAT’ı (diğer adıyla Rescoms) yaymak için AceCryptor adı verilen bir kriptolayıcı hizmeti (CaaS) kullanan önceki saldırılardan farklı bir durum.

“İkinci yarıda [2023]ESET, Mart 2024’te “Rescoms, AceCryptor tarafından paketlenen en yaygın kötü amaçlı yazılım ailesi haline geldi” diye belirtti. “Bu girişimlerin yarısından fazlası Polonya’da gerçekleşti, ardından Sırbistan, İspanya, Bulgaristan ve Slovakya geldi.”

Saldırıların başlangıç ​​noktası, açıldığında trojan’ı indirip başlatmak için çok adımlı bir süreci başlatan, kötü amaçlı yazılım içeren RAR veya ISO ekleri içeren kimlik avı e-postalarıydı.

Agent Tesla ve Formbook Kötü Amaçlı Yazılımı

Bir ISO dosyasının eklendiği durumlarda, bu doğrudan DBatLoader’ın yürütülmesine yol açardı. Öte yandan, RAR arşivi, PEM kodlu bir sertifika iptal listesi olarak gizlenmiş Base64 kodlu bir ModiLoader yürütülebilir dosyasını içeren, gizlenmiş bir Windows toplu iş betiği içeriyordu.

Delphi tabanlı bir indirici olan DBatLoader, öncelikli olarak Microsoft OneDrive’dan veya meşru şirketlere ait tehlikeye atılmış sunuculardan bir sonraki aşamadaki kötü amaçlı yazılımları indirmek ve başlatmak için tasarlanmıştır.

Hangi kötü amaçlı yazılımın dağıtıldığına bakılmaksızın, Agent Tesla, Formbook ve Remcos RAT, hassas bilgileri çalma yetenekleriyle birlikte gelir ve tehdit aktörlerinin “bir sonraki saldırıları için zemini hazırlamasına” olanak tanır.

Gelişme, Kaspersky’nin KOBİ’lerin güçlü siber güvenlik önlemlerinin olmaması, sınırlı kaynak ve uzmanlıkları nedeniyle siber suçluların hedefi haline geldiğini açıklamasının ardından geldi.

Rus güvenlik sağlayıcısı geçen ay yaptığı açıklamada, “Truva atı saldırıları en yaygın siber tehdit olmaya devam ediyor. Bu da saldırganların KOBİ’leri hedef almaya devam ettiğini ve istenmeyen yazılımlar yerine kötü amaçlı yazılımları tercih ettiğini gösteriyor.” dedi.

“Truva atları özellikle tehlikelidir çünkü meşru yazılımları taklit ederler ve bu da onları tespit etmeyi ve engellemeyi zorlaştırır. Çok yönlülükleri ve geleneksel güvenlik önlemlerini aşma yetenekleri onları siber saldırganlar için yaygın ve etkili bir araç haline getirir.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link