Siber güvenliğin geniş ve karmaşık dünyasında, tehlike genellikle en şüphelenmeyen köşelerde gizlenir ve korumalarımızın en az hazırlıklı olduğu yerlerden sinsice yaklaşır.
Tehditler, eski düşmanlar gibi ısrarla varlığını sürdürüyor ve anonimlik içinde kaybolma belirtileri göstermiyor.
Trustwave SpiderLabs’taki siber güvenlik analistleri yakın zamanda e-posta tabanlı ilk erişim için PDF’leri kullanan tehdit aktörlerinin sayısında bir artış gözlemledi ve bu da kaçınma taktiklerinde artan bir eğilimin altını çizdi.
PDF, cihazlar arasında tutarlı metin ve resim gösterimi sağlar; bu da onu aşağıdakiler gibi elektronik belgeler için ideal kılar:
- Özgeçmişler
- Kılavuzlar
- Faturalar
- Formlar
Tehdit aktörlerini PDF’ye çeken şeyler
Aşağıda, tehdit aktörlerini PDF dosyalarına çeken tüm önemli şeylerden bahsettik: –
- Her yerde bulunma
- Güvenilirlik
- Tespit Zorluğu
Kullanılan Teknik ve Yöntemler
Aşağıda, tehdit aktörlerinin PDF dosyalarını silah haline getirmek için yaygın olarak kullandığı tüm teknik ve yöntemlerden bahsettik: –
- Kötü Amaçlı Köprüler: PDF köprüsü, kullanıcıları harici kaynaklara yönlendiren tıklanabilir bir öğedir. Saldırganlar, Qakbot ve IcedID kampanyalarında görüldüğü gibi, genellikle kimlik avına veya kötü amaçlı yazılımlara yol açan kötü amaçlı bağlantılar yerleştirerek bundan yararlanır.
- Kabbot: Qakbot’un gelişen taktikleri arasında, kullanıcıları kötü amaçlı yazılım indirmeleri için kandırmak amacıyla genellikle meşru güncellemeler gibi görünen, yükleri dağıtmak için gizlenmiş kötü amaçlı bağlantılara sahip PDF’ler kullanmak yer alıyor.
- Eylemler ve JavaScript: PDF’ler eylemler ve JavaScript aracılığıyla etkileşim sunar, ancak saldırganlar bunları kötü amaçlarla kullanabilir ve güvenlik riskleri oluşturabilir.
- PDF Damlalığı: Araştırmacılar, Didier Stevens’ın pdfid aracı kullanılarak incelenen, gömülü bir Office Belgesini başlatan, JavaScript eylemi içeren bir PDF buldu.
- PDF Reader’daki güvenlik açıkları: CVE-2021-28550 gibi PDF okuyucu güvenlik açıklarından yararlanmak, saldırganlara yama yapılmamış Adobe Acrobat okuyucuları üzerinde kontrol sağlayabilir. On yıl önce, PDF’ten yararlanmalar yaygındı, ancak alternatif PDF okuyucuların ve yerleşik tarayıcı desteğinin artmasıyla birlikte tehdit manzarası değişti ve açıktaki istismar azaldı.
- Sosyal mühendislik: Tehdit aktörleri, hassas verileri ele geçirmeyi amaçlayan, genellikle sahte marka veya hizmet e-postalarındaki PDF dosyalarını açmaları için kullanıcıları kandırmak amacıyla sosyal mühendislik kullanıyor. Bu PDF’ler yasal görünür ancak kötü amaçlara hizmet eder.
- Geri arama kimlik avı: Siber suçlular, aciliyet yaratmak ve kurbanları abonelik güncellemelerini aramaya teşvik etmek için genel, açıklanmayan gönderenlerden gelen PDF fatura e-postalarını kullanarak onları aldatıyor.
PDF’ler, geniş kullanım alanları ve platformlar arası uyumlulukları nedeniyle tehdit aktörleri için en iyi seçim olmaya devam ediyor ve siber suçlular için sürekli bir fırsat sunuyor.
Uzlaşma Göstergeleri
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.