Tehdit aktörleri, konu özelleştirmesini, siber tehditlerin çevresi değiştikçe hedeflenen kötü amaçlı yazılım verimli kimlik avı kampanyalarında daha gelişmiş bir strateji olarak kullanıyor.
Bu yöntem, kişiselleştirilmiş konu çizgileri, ek adları ve otantik iletişimleri taklit etmek için gömülü bağlantıların üretilmesini, alıcı katılım olasılığını artıran bir aşinalık veya aciliyet duygusunu teşvik etmeyi içerir.
Çeyrek 2023’ten Q3 2024’ten analiz edilen verilere göre, bu tür kişiselleştirme, deneklerin ötesine e -posta organlarına ve eklere kadar uzanır, bu da tespitten kaçınmayı ve başarılı uzlaşmaları kolaylaştırmayı amaçlamaktadır.
Gizlilik risklerini azaltmak için, konu redaksiyonu gibi teknikler uygulanır, Threathq gibi platformlarda yayılmadan önce uzlaşma göstergelerinden (IOCS) kişisel olarak tanımlanabilir bilgileri (PII) sıyırır.
Bu yaklaşım, hassas verileri ortaya çıkarmadan tehdit istihbaratının güvenli bir şekilde paylaşılmasını sağlar.
Temel bilgiler, uzaktan erişim truva atları (sıçanlar) veya bilgi samanlıları ile birleştirildiğinde, bu kampanyaların saldırganlara genellikle fidye yazılım operatörlerine aracılık edilen ve organizasyonel hasarı artıran uzak erişim veya hasat kimlik bilgileri verebileceğini ortaya koymaktadır.
Konu özelleştirmesinden yararlanan en yaygın temalar, seyahat yardımı, yanıt, finans, vergiler ve bildirimdir, Remcos Rat’ı en sık özelleştirilmiş unsurlara bağlı kötü amaçlı yazılım ailesi olarak ortaya çıkıyor.
En iyi temaların derinlemesine analizi
Seyahat yardımı temalı e-postalar hakimdir, düzeltilmiş konularla kötü amaçlı yazılım teslimatının% 36,78’ini oluşturur ve genellikle kişiselleştirilmiş rezervasyon detaylarının beklentilerinden yararlanır.
COFENSE raporuna göre, bu kampanyalar, tatil seyahat dalgalanmalarının ortasında 4. çeyrek 2023’te zirveye çıktı ve 2019 yılından bu yana Vidar Stealer’a Giriş kimlik bilgileri, bankacılık verileri, kripto para cüzdanı detayları ve tarayıcı artefaktlarını sunan bir bilgi stealer operasyonelini sunarken, ikincir yazılımı yürütmeyi etkinleştirdi.
Vakaların% 30.58’ini içeren yanıt temalı e-postalar, ekipman siparişleri veya toplantı iptalleri gibi önceki yazışmalara Mimik yanıtlar ve pikabot’u, q1 2024’e düşmeden önce üçüncü çeyrek 2023’e giren 2023, sanal alan kaçırma ve sanal makine tespit kaçınması içeren bir kötü amaçlı yazılım dağıtıyor.
Finans temalı varyantlar%21.90’ı temsil eder, PII’yi sözleşmeleri veya siparişleri taklit eden deneklere entegre ederek, JRAT’a işletim sistemlerinde çeşitli saldırılar sağlayan platformlar arası bir Java tabanlı sıçan sunar.
Özellikle, bunların% 9.43’ü PDF eklerini içerir, hacimler Q4 2023 en düşük seviyesinden sonra çeyrek arasında yükselir.
Vergiler temalı e-postalar,%3,72’de, mevsimsel vergi iletişimi ile uyumludur ve genellikle güvenli e-posta ağ geçitlerini (SEG’ler) atlamak için şifre korumalı arşivler aracılığıyla dağıtılan bir sıçan olan Remcos sıçanını, anahtarlogerları veya dosya sönümünü yürütmek için, Q2 ve Q3 2024’te upticks ile içerir.
Bildirim temalı kampanyalar, ayrıca% 3,72’de, WSH sıçan veya JRAT dağıtarak acil istekler veya bilet güncellemeleri,% 22’si kötü amaçlı yazılım indirmelerine bağlanan HTML dosyaları, Q3 düşüşünden önce çeyrek 2024’te zirve yapıyor.
Kötü amaçlı yazılım türleri arasındaki korelasyonlar
Belirli kötü amaçlı yazılım aileleri arasında dikkate değer bir korelasyon ve indirilen dosya adlarında, özellikle finans temalı e-postalarda redaksiyon vardır.
Örneğin JRAT, ödeme özetleri gibi PII-Redacted dosya adları olan vakaların% 20’sinde görünürken, REMCOS Rat, genellikle özelleştirilmiş zip veya CMD dosyaları gibi örneklerle finans veya vergi bağlamlarında% 26,7’dir.
Bu kişiselleştirme taktiği, yükleri meşru görünecek şekilde uyarlayarak enfeksiyon başarısını artırır.
İleriye baktığımızda, her yerde olmasa da, özelleştirilmiş denekler aciliyet güdümlü enfeksiyonlar için, özellikle fidye yazılımı aktörlerine aracılı erişim sağlayan sıçanlar ve stealers ile güçlü bir vektör olmaya devam ediyor.
Son analizler, Q2 2025 fidye yazılımı olaylarının ağırlıklı olarak uzaktan erişim uzlaşmalarından veya kimlik avından kaynaklandığını ve bu başlangıç erişim yöntemlerinin daha geniş tehdit gruplarına yönelik aksamalar arasında esnekliğinin altını çizdiğini göstermektedir.
Kuruluşlar, bu uyarlanabilir tehditlere karşı koymak için gelişmiş e -posta filtrelemesine, kullanıcı farkındalık eğitimine ve IOC izlemeye öncelik vermelidir.
AWS Security Services: 10-Point Executive Checklist - Download for Free