Siber suçlular, kötü amaçlı dosyaları meşru işe alım belgeleri olarak gizleyerek kötü amaçlı yazılımları iş arayanların bilgisayarlarına yerleştirmenin akıllıca bir yolunu keşfetti.
ValleyRAT adı verilen yeni bir kampanya, sahte iş teklifleri ve şirket materyalleri içeren e-posta mesajları yoluyla aktif olarak iş arayan kişileri hedef alıyor.
Saldırı, “Overview_of_Work_Expectations.zip” veya “Candidate_Skills_Assessment_Test.rar” gibi profesyonel görünecek şekilde tasarlanmış adlara sahip sıkıştırılmış arşiv dosyaları aracılığıyla yayılıyor.
Hiçbir şeyden şüphelenmeyen iş başvurusu sahipleri bu dosyaları açtıklarında, farkında olmadan sistemlerine tehlikeli bir uzaktan erişim truva atını davet etmiş olurlar.
Kampanyanın asıl püf noktası popüler Foxit PDF Reader’dan faydalanmayı içeriyor. Her kötü amaçlı arşivin içinde, programın tanınabilir simgesiyle tamamlanmış, gerçek Foxit uygulaması gibi görünen gizlenmiş bir yürütülebilir dosya bulunur.
.webp)
Kullanıcılar tanıdık PDF sembolünü görüyor ve dosyanın aslında bilgisayarlarının kontrolünü ele geçirmek üzere tasarlanmış gizli kötü amaçlı yazılım içerdiğinden habersiz, basit bir belge açtıklarını varsayıyorlar.
Siber suçlular, ilk aldatmacanın ötesinde, kötü amaçlı yükü alarm vermeden etkinleştirmek için DLL yandan yükleme adı verilen teknik bir yöntem kullanır.
Trend Micro güvenlik araştırmacıları, Ekim ayı sonlarında ValleyRAT tespitlerinde önemli bir artış gözlemledikten sonra bu karmaşık kampanyayı belirlediler.
Kötü amaçlı yazılımın başarısı, birlikte sorunsuz çalışan birden fazla saldırı tekniğinin birleştirilmesinden kaynaklanıyor.
.webp)
Sosyal mühendislik, iş aramanın duygusal stresinden yararlanarak hedeflerin indirdikleri şeyler konusunda daha az dikkatli olmalarını sağlar.
Sahte klasör yapıları ve gizli dizinler kafa karışıklığına neden olarak kötü amaçlı yazılımın tespitten kaçmasına yardımcı olur.
Etkinleştirildiğinde, kullanıcı ekranda ikna edici bir iş ilanını görüntülerken, kötü amaçlı yazılım arka planda sessizce çalışır.
Enfeksiyon Zincirini Anlamak
Enfeksiyon süreci dikkatle düzenlenmiş bir dizi aracılığıyla ortaya çıkar. Bir kullanıcı, yeniden adlandırılan Foxit yürütülebilir dosyasına tıkladığında, Windows’un dosya arama mekanizması yoluyla otomatik olarak kötü amaçlı bir kitaplık (msimg32.dll) yüklenir.
.webp)
Bu, görünüşte masum belge dosyalarında saklanan gizli bir Python ortamını çıkaran bir toplu komut dosyasını tetikler. Python yorumlayıcısı daha sonra kabuk kodu içeren kötü amaçlı bir komut dosyasını indirip çalıştırır ve sonuçta ValleyRAT truva atının tamamını dağıtır.
Kötü amaçlı yazılım, sistem yeniden başlatıldığında hayatta kalmasını sağlayan kayıt defteri girişleri oluşturarak kalıcılık sağlar.
ValleyRAT kurulduktan sonra saldırganlara ele geçirilen makineler üzerinde tam kontrol sağlar. Truva atı, kullanıcı etkinliğini izleyebilir, web tarayıcılarından hassas bilgileri çalabilir ve virüslü sistemlerden değerli verileri çıkarabilir.
Kanıtlar, kötü amaçlı yazılımın popüler tarayıcılar tarafından saklanan şifre bilgilerini ve oturum açma kimlik bilgilerini açıkça hedef aldığını ve bu durumun onu kişisel finansal güvenlik ve kimlik koruması için önemli bir tehdit haline getirdiğini gösteriyor.
Kampanya daha geniş kitlelere ulaşacak şekilde gelişmeye devam etse de, iş arayanlar ve insan kaynakları uzmanları öncelikli hedefler olmaya devam ediyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
