Tehdit aktörlerinin, CrowdStrike yazılımında yakın zamanda keşfedilen ve etkilenen sistemlerde Mavi Ekran Ölümüne (BSOD) neden olan bir hatayı istismar ettiği tespit edildi.
Bu güvenlik açığı, siber suçlulara kötü amaçlı yazılım yaymak için benzersiz bir fırsat sunarak, siber güvenlik için CrowdStrike’a güvenen kullanıcılar ve kuruluşlar için önemli riskler oluşturuyor.
Kötü Niyetli Yem
Önde gelen siber güvenlik araştırma grubu Zscaler ThreatLabz, bu BSOD hatasını kullanan karmaşık bir yem tespit ettiğini tweetledi.
Cazibe, görünüşte BSOD sorunundan nasıl kurtulacağınıza dair talimatlar içeren bir Microsoft Word belgesidir. Ancak, bu belge zararsız olmaktan uzaktır.
Şüphelenmeyen kullanıcı tarafından etkinleştirildiğinde, uzak bir sunucudan bilgi çalan kötü amaçlı yazılımın indirilmesini başlatan kötü amaçlı bir makroyu içerir.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo
Kötü amaçlı makro hxxp://172.104.160 URL’sine bağlanıyor[.]Kötü amaçlı yazılımı indirmek için 126:8099/payload2.txt. Bu bilgi hırsızı, birçok antivirüs çözümü tarafından tespit edilmekten kaçınmak için tasarlanmıştır ve bu da onu özellikle tehlikeli hale getirir.
Kötü amaçlı yazılım yüklendikten sonra kötü niyetli faaliyetlerine başlar ve etkilenen sistemin güvenliğini ve gizliliğini tehlikeye atar.
HTTP POST İstekleri Aracılığıyla Veri Sızdırma
İndirilen kötü amaçlı yazılımın birincil işlevi, enfekte olmuş sistemden hassas bilgileri çalmaktır. Bu çalınan veriler daha sonra 172.104.160 IP adresine HTTP POST istekleri yoluyla sızdırılır.[.]126:5000.
Siber suçlular, veri sızdırma amacıyla genellikle HTTP POST isteklerini kullanırlar; çünkü bu taktik, çoğu zaman geleneksel ağ güvenlik önlemlerini aşabilir.
Bu kötü amaçlı yazılımın hedef aldığı belirli veri türleri açıklanmadı ancak bilgi hırsızları genellikle kimlik bilgilerini, finansal bilgileri, kişisel verileri ve diğer değerli varlıkları toplamayı hedefliyor.
Bu tür veri ihlallerinin sonuçları ciddi olup, kimlik hırsızlığına, maddi kayba ve daha fazla siber saldırıya yol açma potansiyeline sahiptir.
Siber güvenlik uzmanları, bu tehdide yanıt olarak kullanıcıları ve kuruluşları, özellikle CrowdStrike BSOD hatası gibi bilinen sorunlara çözüm sunduğunu iddia eden istenmeyen belgeler konusunda aşırı dikkatli olmaya çağırıyor.
Microsoft Office belgelerindeki makroları gerekmediği sürece devre dışı bırakmak ve kurtarma talimatlarının gerçekliğini resmi kanallardan doğrulamak büyük önem taşımaktadır.
CrowdStrike bu istismardan haberdar edildi ve kullanıcıların şirketin en son yamaları ve güvenlik uyarıları hakkında güncel kalmaları öneriliyor.
Ayrıca, güçlü uç nokta koruması ve ağ izleme, bu tür tehditlerin tespit edilmesine ve azaltılmasına yardımcı olabilir.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.