Siber suçlular, kötü amaçlı yazılım kimlik avı kampanyalarının etkinliğini artırmak için kişiselleştirme taktiklerini giderek daha fazla kullanıyorlar, tehdit aktörleri konu çizgilerini, bağlanma adlarını ve gömülü bağlantıları özelleştiriyor.
Bu sofistike yaklaşım, sosyal mühendislik tekniklerinde önemli bir evrimi temsil eder, çünkü saldırganlar alıcıya özgü bilgileri, şirket detaylarını ve tipik iş iletişimini yansıtan bağlamsal olarak alakalı içeriği dahil ederek meşru görünen e-postalar oluşturur.
.webp)
Kişiselleştirme stratejisi, mesaj gövdesi içeriği, dosya ekleri ve indirme bağlantıları dahil olmak üzere tüm e -posta ekosistemini kapsayacak şekilde yalnızca konu satırı özelleştirmesinin ötesine uzanır.
Bu iletişim boyunca kişisel olarak tanımlanabilir bilgileri (PII) yerleştirerek, tehdit aktörleri başarılı mağdur katılımı ve daha sonraki kötü amaçlı yazılım dağıtım olasılığını önemli ölçüde artırır.
Bu kampanyalar özellikle kişiselleştirilmiş iletişimin finans, seyahat ve iş operasyonları gibi yaygın olduğu sektörleri hedeflemektedir.
Cofense analistlerinin son analizi, kişiselleştirilmiş kötü amaçlı yazılım kampanyalarına hakim olan beş temel temayı belirledi: seyahat yardımı (%36.78), yanıt (%30.58), finans (%21.90), vergiler (%3.72) ve bildirim (%3.72).
Seyahat yardımı temalı e-postalar, genellikle giriş bilgileri, bankacılık bilgileri, kripto para birimi cüzdan verileri ve tarayıcı çerezlerini hasat edebilen Vidar Stealer kötü amaçlı yazılımları içeren en yaygın vektör olarak ortaya çıktı.
Bu kampanyalar, artan tatil seyahati nedeniyle 4. çeyrek sırasında zirve yaparak alıcıları seyahatle ilgili iletişimlere daha duyarlı hale getirir.
S3 2023 ila üçüncü çeyrek 2024’ü kapsayan araştırma, finans temalı kampanyaların ağırlıklı olarak Java’da yazılmış çoklu ameliyat sistem uyumluluğunu sağlayan platformlar arası bir uzaktan erişim truva atı olan JRAT’ı sunduğunu ortaya koydu.
Yanıt temalı e-postalar, gelişmiş sanalbox kaçırma tekniklerini içeren ve ek kötü amaçlı yükler için bir dağıtım mekanizması görevi gören Pikabot kötü amaçlı yazılımları içerir.
Gelişmiş Dosya Adı Özelleştirme Taktikleri
Bu kişiselleştirilmiş saldırıların özellikle sofistike bir yönü, indirilen dosya adlarının alıcı bilgilerini eşleştirecek stratejik özelleştirmesini içerir.
CoFense araştırmacıları, belirli kötü amaçlı yazılım aileleri ile dosya adı kişiselleştirme uygulamaları arasında doğrudan bir korelasyon kaydetti, JRAT ve REMCOS sıçan kampanyaları bu tekniği sürekli olarak finans temalı e-postalarda uyguladı.
JRAT yük olarak hizmet verdiğinde, tehdit aktörleri hem e -posta konularını hem de indirilen dosya adlarını her zaman kişiselleştirir ve “payba_summary_[RecipientName].pdf ”ve benzer varyasyonlar.
REMCOS RAT Kampanyaları, “[RecipientName]Tax_documents.zip ”ve“ boq_47864594[RecipientName]_Project_2024_05_13.cmd ”.
Bu çift katmanlı kişiselleştirme, başarılı kötü amaçlı yazılım yürütme olasılığını önemli ölçüde artıran birden fazla aşinalık temas noktası yaratır.
Bu eğilim, siber saldırı metodolojisinde ilgili bir evrimi temsil eder, çünkü kişiselleştirilmiş kötü amaçlı yazılım sunum kampanyaları, daha sonra fidye yazılımı operatörlerine aracılık edilen uzaktan erişim kimlik bilgileri sağlayabilir ve ilk uzlaşmanın ötesinde potansiyel organizasyonel etkiyi artırabilir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.