Avast’a göre siber suçlular, insanların iletişim bilgilerini elde etmek için bir taktik olarak kullanılan piyango temalı reklam yazılımı kampanyalarıyla casusluk ve bilgi çalmada aktif olmaya devam etti. Geri ödeme ve fatura dolandırıcılığı ve teknik destek dolandırıcılığı gibi para çalmak için sosyal mühendisliği kullanan tehditler 2022’nin 4. çeyreğinde arttı.
Tehdit araştırmacıları ayrıca Google Chrome ve Windows’ta sıfırıncı gün açıklarını da keşfetti. Bu güvenlik açıkları o zamandan beri yamalanmıştır.
“2022’nin sonunda, insanları bilgisayarlarına virüs bulaştığına veya sipariş etmedikleri ürünler için ücretlendirildiklerine inandıran dolandırıcılık gibi insan merkezli tehditlerde bir artış gördük. Avast Kötü Amaçlı Yazılım Araştırma Direktörü Jakub Kroustek, aciliyete, korkuya tepki vermek ve sorunların kontrolünü yeniden ele geçirmeye çalışmak insan doğasıdır ve siber suçlular işte bu noktada başarılı olurlar.
“İnsanlar şaşırtıcı pop-up mesajlar veya e-postalarla karşılaştıklarında, sakin olmalarını ve harekete geçmeden önce biraz düşünmelerini öneriyoruz. Tehditler bugün o kadar yaygın ki, tüketicilerin ayak uydurması zor. Kroustek, en son AI tabanlı teknolojiyi kullanarak tehditleri tespit ederek ve herhangi bir zarar vermeden önce kullanıcıları uyararak insanların korunmasına yardımcı olmak bizim görevimizdir” dedi.
Teknik destek dolandırıcılığı
Avast tehdit laboratuvarları, teknik destek dolandırıcılığı faaliyetlerinde de artış gördü. En çok etkilenen ülkeler arasında Amerika Birleşik Devletleri, Brezilya, Japonya, Kanada ve Fransa yer alıyor.
Bu dolandırıcılıklar genellikle insanları kötü amaçlı yazılım bulaştığı iddiasıyla uyaran ve sorunu çözmek için bir yardım hattını aramaya teşvik eden bir açılır pencereyle başlar.
Dolandırıcılar, arayan kişiyi bilgisayarına uzaktan bağlantı kurmaya ikna ederek kişisel bilgilerin ve paranın çalınmasına kapı aralayacak, çünkü suçlular insanların banka hesaplarına veya kripto cüzdanlarına erişmeye çalışacak ve hizmetleri için ödeme talep edecek.
Kroustek, “İnsanlara bu tür açılır mesajları göz ardı etmelerini ve kaçış tuşuyla pencereyi kapatmalarını veya bu mümkün değilse bilgisayarlarını yeniden başlatmalarını öneriyoruz” diyor. “Ayrıca, tanımadığınız birine asla bilgisayarınıza uzaktan erişim izni vermeyin.”
İade ve fatura dolandırıcılığı
Avast tehdit laboratuvarları ayrıca Ekim’den Kasım 2022’ye kadar geri ödeme ve fatura sahtekarlığında %14’lük bir artış ve Aralık’ta %22’lik bir artış gördü.
Geri ödeme dolandırıcılığı, teknik destek dolandırıcılığına benzer şekilde çalışır ve genellikle güvenilir bir şirketten gönderilmiş gibi görünen bir e-posta biçiminde gelir.
İnsanlar, yapmadıkları bir satın alma işlemi için ücretlendirildiğine inanmalarını sağlayan sahte bir makbuz içeren bir e-posta alacak. İnsanlar daha sonra bir telefon numarasını aramaları için kandırılır ve burada bir temsilci onlardan bilgisayarlarına uzak bir bağlantı oluşturmalarını ve banka hesaplarını açmalarını ister, böylece kişi geri ödemenin nasıl yapıldığını görebilir.
Saldırganın amacı kişinin parasını çalmaktır. Fatura dolandırıcılığı durumunda, insanlar ve daha sıklıkla işletmeler, işletmenin asla sipariş etmediği veya teslim almadığı mal veya hizmetler için faturalar alır.
“Fatura sahtekarlığından kaçınmak için insanların aldıkları faturalara çok dikkat etmeleri gerekiyor. Hileli faturalar genellikle meşru görünür ve insanların gerçekten bir siparişin verilip verilmediğini, alınan hizmetin ve gönderenin gerçekten göründükleri kişi olup olmadığını doğrulamaları gerekir” dedi.
Bilgi çalan reklam yazılımı
Web tabanlı reklam yazılımları da bu çeyrekte yaygındı ve yalnızca araya giren reklamlarla insanları rahatsız etmekle kalmıyor, aynı zamanda kişisel verilerini çalmaya çalışıyordu. Örneğin, insanlardan kazanmak için bir rulet çarkı çevirerek bir piyangoya katılmaları istenir ve daha sonra kredi kartlarını veya Google Pay veya Apple Pay hesaplarını kullanarak iletişim bilgilerini girmeleri ve bir “işlem ücreti” ödemeleri istenir.
Avast araştırmacıları ayrıca, bir Google Chrome uzantısı olarak gelen ve saldırganlara istatistik ve arama bilgileri gönderen bir DealPly reklam yazılımı seli gördü. DealPly tarafından enfekte olma riski dünya çapında, en önemlisi Amerika, Avrupa ve Güney ve Güneydoğu Asya’da arttı.
Avast araştırmacıları, tarayıcıların otomatik doldurma formlarından, parolalarından ve diğer kaynaklardan veri çalmasıyla tanınan Arkei bilgi hırsızının küresel yayılımında %437’lik önemli bir artış gördü.
Ayrıca, genellikle işletmelere kimlik avı e-postaları yoluyla yayılan ve kimlik bilgilerini çalmak üzere tasarlanmış bir kötü amaçlı yazılım türü olan AgentTesla’ya karşı korunan kişi ve işletmelerde %57’lik bir artış ve genellikle crackli oyunlarda yayılan RedLine hırsızlığında %37’lik bir artış oldu. ve hizmetler, tarayıcılardan ve kripto cüzdanlardan bilgi çalmak.
Uzaktan erişim truva atları ve botları
Avast telemetrisi ayrıca LimeRAT’ın küresel yayılımının 4. çeyrekte üç katına çıktığını gösteriyor. LimeRAT, şifreleri, kripto para birimlerini çalabilen, DDoS saldırılarını yürütebilen ve bir kurbanın bilgisayarına fidye yazılımı yükleyebilen bir uzaktan erişim truva atıdır.
Çoğunlukla Güney ve Güneydoğu Asya ile Latin Amerika’da etkindi. Aynı zamanda bilgi çalmak ve kötü amaçlı yazılım yaymak için çok çeşitli yeteneklere sahip bir kötü amaçlı yazılım dağıtıcısı olan Emotet botnet, son birkaç ayda, yükün yürütülmesine aşamalı olarak devam etmek için zamanlayıcılar kullanarak virüsten koruma yazılımı tarafından tespit edilmekten kaçınma tekniğini geliştirdi.
Qakbot bilgi hırsızı botnet’i de daha da gelişti ve bir e-posta eki içindeki kodlanmış kötü amaçlı bir komut dosyasını gizlemek için “HTML kaçakçılığını” kullanmaya başladı. Örneğin, tehdit aktörleri, kötü amaçlı yükleri ve bunların yeniden birleştirilmesi için kullanılan kodu gizlemek için SVG görüntülerini kötüye kullanmaya başladı.
Vahşi doğada sıfır gün istismarları
Üç aylık dönemde Avast araştırmacıları tarafından iki sıfır gün açığı da keşfedildi.
İlki olan CVE-2022-3723, V8’de bir tür karışıklığıydı ve Google Chrome’a karşı “Uzaktan Kod Yürütmeyi Al” (RCE) yapmak için kullanılıyordu. Avast, bu güvenlik açığını 27 Ekim 2022’de yalnızca iki gün içinde hızla bir yama yayınlayan Google’a bildirdi.
İkinci sıfır günlük CVE-2023-21674, ALPC’de saldırganların tarayıcı sanal alanından Windows çekirdeğine kadar erişmesine izin veren bir LPE güvenlik açığıydı. Microsoft, Ocak 2023 Salı Yaması güncellemesinde bu açıktan yararlanmaya yama yaptı.
Avast raporu ayrıca casus yazılımlara ve mobil bankacılık Truva atlarına ve Truva SMS’lerine ilişkin en son bilgileri paylaşıyor.