Yeni ve tehlikeli bir kimlik avı kampanyası, sosyal mühendisliği gelişmiş kötü amaçlı yazılım dağıtımıyla birleştiren aldatıcı bir “Yönetici Ödülü” temasına sahip kuruluşları hedef alıyor.
Bu iki aşamalı saldırı, öncelikle kullanıcıları sahte bir HTML formu aracılığıyla oturum açma kimlik bilgilerini paylaşmaları için kandırıyor, ardından etkilenen sistemleri tehlikeye atmak için Stealerium bilgi hırsızını kullanıyor.
Kampanya, saldırganların kimlik bilgisi hırsızlığını kötü amaçlı yazılım bulaşmalarıyla tek ve koordineli bir operasyonda birleştirdiği büyüyen bir eğilimi temsil ediyor.
Saldırı, meşru bir kurumsal ödül bildirimini taklit eden “Virtual-Gift-Card-Claim.html” başlıklı gösterişli bir HTML kimlik avı sayfasıyla başlıyor.
Bu sayfayla etkileşimde bulunan kullanıcılar, yönetici ödülü almak için hesap kimlik bilgilerini doğruladıklarına inanıyor ancak bunun yerine giriş bilgileri, saldırganlar tarafından kontrol edilen bir Telegram komuta ve kontrol sunucusuna hemen gönderiliyor.
.webp)
Bu kimlik bilgisi toplama aşaması, enfeksiyon zincirinin ilk aşaması olarak hizmet eder.
SpiderLabs güvenlik analistleri, kampanyanın altyapısını ve saldırı modellerini analiz ettikten sonra kötü amaçlı yazılımı tespit etti.
Araştırmacılar, bir kullanıcı kimlik avı sayfasına düştüğünde, ikinci aşamada “account-verification-form.svg” adlı kötü amaçlı bir SVG dosyasının teslim edildiğini keşfetti.
Bu dosya, gizli komutları yürütmek için Windows mesajlaşma sistemlerini kötüye kullanan bilinen bir teknik olan ClickFix yararlanma zinciri aracılığıyla çalışan karmaşık bir PowerShell betiğini tetikler.
PowerShell kodu daha sonra Stealerium bilgi hırsızını kullanıcının bilgisi veya izni olmadan kurbanın bilgisayarına indirir ve yükler.
Stealerium, virüslü sistemlerden hassas bilgileri çıkarmak için sessizce çalıştığı için ciddi bir tehdit oluşturuyor.
Kötü amaçlı yazılım, 31.57.147.77:6464 adresindeki komut ve kontrol sunucularıyla iletişim kurar ve ek bileşenleri ve komutları almak için birden fazla indirme uç noktası kullanır.
Bu mimari, saldırganların saldırılarını sistem koşullarına ve mevcut güvenlik önlemlerine göre gerçek zamanlı olarak uyarlamasına olanak tanır.
Enfeksiyon Mekanizmasını ve PowerShell Yürütmesini Anlamak
Saldırının gücü, meşru Windows özelliklerini kullanıcılara karşı nasıl kullandığında yatıyor. Kötü amaçlı SVG dosyası açıldığında, yerleşik PowerShell komutları minimum düzeyde görünürlükle yürütülür.
ClickFix zinciri, tipik güvenlik uyarılarını tetiklemeden yürütmeyi tetiklemek için meşru Windows mesajlaşma protokollerini kötüye kullanıyor.
Buradan Stealerium, ana DLL dosyası, toplu komut dosyaları ve yürütülebilir komut dosyaları dahil olmak üzere ek bileşenleri indirir.
Kötü amaçlı yazılım daha sonra kalıcılık oluşturarak sistemin yeniden başlatılmasından sağ çıkmasını ve veri çalmaya devam etmesini sağlar. Kuruluşlar, olağandışı PowerShell etkinliğini, şüpheli SVG dosyası yürütmesini ve belirlenen komuta ve kontrol altyapısına yönelik ağ bağlantılarını 31.57.147.77:6464 adresinde izlemelidir.
Uç nokta algılama sistemleri, standart olmayan kaynaklardan PowerShell komutlarını yürütme girişimlerini işaretleyecek şekilde yapılandırılmalıdır.
Ağ izleme, bilinen kötü amaçlı IP adreslerine erişimi engellemeli ve bu kampanyayla ilişkili DNS isteklerini izlemelidir.
Kullanıcılar, yöneticilerin tanınmasını veya ödül bildirimlerini talep eden istenmeyen e-postalara karşı dikkatli olmalıdır; zira bunlar etkili sosyal mühendislik vektörleri olmaya devam etmektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
