Siber tehditler son yıllarda önemli ölçüde gelişti ve kötü niyetli aktörler kullanıcı sistemlerini tehlikeye atmak için sofistike taktikler kullanıyor.
Böyle bir tehdit, 2017’den beri sahte tarayıcı güncellemeleri ile aktif olarak dağıtılan Socgholish kötü amaçlı yazılımdır.
Bu kötü amaçlı yazılım kampanyası, kendisini meşru yazılım güncellemeleri olarak gizleyerek kullanıcı güveninden yararlanır ve genellikle tehlikeye girmeyen web sitelerinin şüphesiz ziyaretçilerini hedefler.
Socgholish, güvenlik kontrollerinden kaçınmak için JavaScript, PowerShell ve sıkıştırılmış dosyaları içeren karmaşık bir enfeksiyon zinciri kullanan JavaScript tabanlı bir yükleyici kötü amaçlı yazılımdır.
Kötü amaçlı yazılımlar genellikle kullanıcıların hacklenen web sitelerini ziyaret ederken sahte güncellemeler yüklemeye kandırıldığı sürücü-by indirmelerle teslim edilir.
Güvenlik analisti Cyber_osint (@Cyber_O51NT) ve Intel471’deki diğerleri, bu sitelerin genellikle saldırganların güvenilirliği korumak için güvenilir alanlar altında alt alanlar oluşturduğu etki alanı gölgeleme teknikleri kullanılarak tehlikeye atıldığını belirtti.
Socgholish enfeksiyonu
Socgholish kötü amaçlı yazılım, sahte bir tarayıcı güncelleme bildirimi gösteren tehlikeye atılmış bir web sitesini ziyaret eden bir kullanıcıyla başlayarak çok katmanlı bir enfeksiyon zincirini takip eder.
Kullanıcı onunla etkileşime girdiğinde, kötü amaçlı yazılım indirilir ve yürütülür, genellikle güvenlik önlemlerinden kaçınmak için JavaScript’ten yararlanır.
.webp)
İlk enfeksiyondan sonra, finansal kazanç için uzlaştırılmış sistemlerden yararlanmak için kobalt grev gibi fidye yazılımı gibi ikincil yükler ve seanslama sonrası araçlar kullanabilir.
Dahası, saldırganlar, kampanyalarını optimize etmek için Keitaro gibi sofistike trafik dağıtım sistemlerini kullanıyor, kurbanları enfeksiyon başarısını en üst düzeye çıkarmak için konum, tarayıcı türü ve cihaza göre hedefliyor.
Socgholish enfeksiyonlarını doğrudan önlemek için özel kod olmasa da, şüpheli etkinlik için sistem günlüklerini izlemek kötü amaçlı yazılımın tespit edilmesine yardımcı olabilir.
Örneğin, Windows olay günlükleri, kötü amaçlı yazılım tarafından oluşturulan ve bir enfeksiyonu gösterebilecek yeni planlanmış görevleri yakalayabilir:-
# Example PowerShell command to list scheduled tasks
Get-ScheduledTask | Where-Object {$_.State -eq "Ready"}Bu komut, çalışmaya hazır olan ve Socgholish tarafından oluşturulan kötü niyetli görevlerin belirlenmesine yardımcı olabilecek tüm planlanan görevleri listeler.
Socgholish kötü amaçlı yazılımlara karşı korunmak için kullanıcılar beklenmedik tarayıcı güncelleme istemleri konusunda dikkatli olmalı ve güncellemeleri doğrudan resmi kaynaklardan doğrulamalıdır.
Güvenlik yazılımı ve güvenlik duvarlarını güncel tutmak ekstra bir koruma katmanı eklerken, şüpheli veya tanıdık olmayan web sitelerinden kaçınmak tehditlere maruz kalmayı en aza indirmeye yardımcı olur.
Bu taktikler hakkında bilgi sahibi olarak ve proaktif güvenlik önlemlerini benimseyerek, kullanıcılar bu tür siber saldırılara mağdur olma riskini etkili bir şekilde azaltabilirler.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free