Tehdit aktörleri, siber suç alanında korkunç yeni bir gelişme olan güvenilir güvenlik önlemleri olarak poz vererek kötü amaçlı yazılımları yaymak için akıllı bir sosyal mühendislik tekniği geliştirdiler.
Siber güvenlik araştırmacıları, şüpheli olmayan kullanıcıları sistemlerinde zararlı kod yürütmeleri için kandırmak için sahte Cloudflare doğrulama ekranlarından yararlanan kötü niyetli bir kampanyayı ortaya çıkardılar.
Bu saldırı sadece siber suçluların gelişen karmaşıklığını vurgulamakla kalmaz, aynı zamanda görünüşte rutin web istemleriyle etkileşime girerken uyanıklığın önemini açık bir hatırlatma olarak da hizmet eder.
Sofistike Sosyal Mühendislik Saldırısı Açıklandı
Saldırı, bir kullanıcı, genellikle kimlik avı bağlantıları veya tehlikeye atılan web siteleri aracılığıyla erişilen bir Cloudflare doğrulama ekranını taklit eden aldatıcı bir web sayfasıyla karşılaştığında başlar.
“Doğrula” düğmesini tıkladıktan sonra, kötü amaçlı sayfa, aynı zamanda keşif için IP adreslerini yakalarken PowerShell kodunu kullanıcının panosuna gizlice enjekte eder.
Web sayfası daha sonra kullanıcıyı Windows Run istemini açmaya yönlendirerek ek bir doğrulama adımı gerçekleştirmesini ister.
Çalışma istemine erişilir erişilir erişilir, saldırganın sayfası bir webhook’u tetikler ve eylemi onaylamak için saldırganın sunucusuna bir bildirim gönderir.
Bu işlem sırasında, web sayfası kullanıcının tuş vuruşlarını aktif olarak izler ve gizliliklerinden daha da ödün verir.
Çok aşamalı kötü amaçlı yazılım dağıtım taktikleri
Kullanıcı pano içeriğini çalışma istemine yapıştırdıktan sonra, enjekte edilen PowerShell kodu harekete geçer.
Pastesio’da barındırılan uzak pastebin benzeri bir hizmetten ikincil bir Base64 kodlu PowerShell komutunu alır[.]com.
Bu komut, kod çözüldükten ve yürütüldüğünde, başka bir kötü amaçlı alandan, AxiomsNiper[.]bilgi.
BAT dosyası, güvenlik araştırmacıları ve kum havuzları tarafından yaygın olarak kullanılan sanal makine ortamları için bir kontrol de dahil olmak üzere kaçış teknikleriyle tasarlanmıştır.
Sanal bir ortam tespit edilirse, komut dosyası analizden kaçınmak için sona erer. Ancak, standart bir kullanıcı sisteminde, kurbanın makinesinden ödün vererek ek kötü amaçlı yazılımlar kurmaya devam eder.
Endişe verici bir şekilde, bu yarasa dosyası şu anda algılamadan kaçınıyor ve bu tehdidin gizliliğinin ve yeniliğinin altını çizen Virustotal’da sıfır tespit oranına sahip.
Bu saldırının sonuçları, psikolojik manipülasyonu kullanıcı şüphesini ve geleneksel güvenlik önlemlerini atlamak için teknik ustalıkla harmanladığı için şiddetlidir.
Sahte Captcha sayfası, kullanıcıların Cloudflare’nin güvenlik istemlerine aşina olmasını sağlayarak çok katmanlı bir enfeksiyon zinciri yürütmek için güvenden yararlanır.
Rapora göre, araştırmacılar bu tür sahte captcha web sitelerini tespit etmek için avlanma sorgularını paylaştılar (https://lnkd.in/gynzwgyb adresindeki bir LinkedIn gönderisi aracılığıyla erişilebilir), kuruluşları ve bireyleri, istikrarsız doğrulama istemleri konusunda dikkatli kalmaya ve onlarla etkileşime girmeden önce URL’leri incelemeye çağırdı.
Bu saldırı, siber suçluların insan davranışlarından yararlanmak için stratejilerini sürekli olarak nasıl uyarlamasının güçlü bir örneği olarak işlev görür ve bu tür tehditlere karşı koymak için gelişmiş kullanıcı eğitimi ve sağlam uç nokta koruması ihtiyacını vurgulamaktadır.
Bu IOC’ler hakkında bilgi sahibi olarak ve proaktif güvenlik uygulamalarını benimseyerek, kullanıcılar ve kuruluşlar kendilerini bu sinsi siber aldatma biçiminden daha iyi koruyabilirler.
Uzlaşma Göstergeleri (IOCS)
| İhtisas | Tanım |
|---|---|
| Dex-Redirect[.]com | İlk yeniden yönlendirme alanı |
| Macun[.]com | Ana bilgisayarlar Base64 kodlu komutlar |
| aksiyomsniper[.]bilgi | Kötü niyetli yarasa dosyası kaynağı |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt