HP Tehdit Araştırma Ekibi, 1. çeyrekte, Phony Travel web sitelerini kullanarak Booking.com’u taklit ederek tatil planlamacılarını hedefleyen sofistike bir kötü amaçlı yazılım kampanyası keşfetti.
En son HP Wolf Güvenlik Tehdit Analizleri raporunda ayrıntılı olarak açıklandığı gibi, saldırganlar, tehlikeli bir uzaktan erişim Truva atı (sıçan) olan Xworm’u dağıtmak için kullanıcıların “tıklama yorgunluğu” nu çerez rıza afişleriyle kullanıyorlar.
Tıklama yorgunluğu istismar etmek
Bu aldatıcı sitelere yönelik şüphesiz kullanıcılar, kabul edildiğinde kötü niyetli bir JavaScript dosyasının indirilmesini tetikleyen sahte bir kurabiye afişiyle karşılaşır.
.png
)
2018’den bu yana GDPR uyumunun zorunlu kılınan rutin tarama deneyiminin bir parçası olarak gizlenen bu sosyal mühendislik taktiği, bu tür pop-up’ların alışılmış olarak reddedilmesinden yararlanır ve bu da endişe verici bir şekilde etkilidir.
Etkinleştirildikten sonra, JavaScript, Xworm’un kurulumunu başlatan web proxy günlüklerinde tespit etmek için .mp4 uzantısı ile kamufle edilen iki PowerShell komut dosyası alır ve saldırganların enfekte sistemleri uzaktan kontrol etmesini ve duyarlı verileri ekspiltrat eder.
Çok aşamalı enfeksiyon zinciri
Bu kampanyanın teknik derinliği, geleneksel güvenlik önlemlerini atlamak için tasarlanmış çok aşamalı bir enfeksiyon sürecini ortaya koymaktadır.
İlk JavaScript indirmesinden sonra, PowerShell komut dosyaları aynı kötü amaçlı IP’den bir .NET ikili (js.exe) getirir, bu da daha sonra dinamik kod derlemesini (T1027.004) kullanarak çalışma zamanında başka bir yürütülebilir dosyayı derler.
Bu ikili, Xworm yükünü işlemi oyma (T1055.012) yoluyla msBuild.exe gibi meşru bir sürece yerleştirerek, gizli yürütme sağlayarak bir işlem enjektörü olarak hareket eder.
Bu yaklaşım sadece saldırganların kaçınma son nokta tespitindeki yeniliklerini göstermekle kalmaz, aynı zamanda 4. çeyrek 2024’te görülen daha önceki taktiklerden sahte captcha zorlukları gibi, kurabiye afişleri gibi daha ince yemlere geçişlerini de vurgulamaktadır.
Kampanyanın etkinliği, 23 Şubat 2025 gibi erken dönemlerde kayıt yaptırarak tehdit aktörlerinin seyahat platformlarının ikna edici taklitleri oluşturmasına izin vererek daha da güçlendirildi.
Xworm’un ötesinde, HP Kesinlikle Click ayrıca Windows Library Dosyaları (.ms-Library) ve Ölçeklenebilir Vektör Grafikleri (.SVG) gibi olağandışı dosya formatlarını kullanarak, e-posta ekleri ve Webdav Shares gibi diğer sıçanları yerel klasörler olarak gizlenmiş olarak dağıtmak için ikinci çeyrekte ele alınan kampanyaları da ele geçirir.
Bu kampanya, seyahat rezervasyon platformlarını hedefleyen kötü amaçlı yazılımlarda daha geniş bir artışın bir parçasıdır ve HP araştırmacıları, genellikle sahtekâr yazılım sitelerine yayılan kromel yükleyici aktivitesi tarafından yönlendirilen kötü niyetli MSI montajcılarında bir artışa dikkat çeker.
E -posta baskın vektör olmaya devam ediyor, HP’nin% 62’sini HP Tıklayarak durdurulurken, RAR ve ZIP gibi arşivler% 38’de en çok kötüye kullanılan dosya türleri olarak.
Kötü amaçlı yazılım yüklerini barındırmak için güvenilir kamu hizmetlerinin stratejik kullanımı, sağlam uç nokta güvenliği ve kullanıcı farkındalığına duyulan ihtiyacın altını çizerek algılamayı daha da karmaşıklaştırır.
Siber suçlular sosyal mühendislik araç setlerini iyileştirmeye devam ettikçe, çerez rızası gibi günlük dijital etkileşimlerden yararlanmak, kuruluşlar ve bireyler gelişmiş tehdit izolasyonuna öncelik vermeli ve Xworm gibi gelişen siber tehditlere karşı korunmak için görünüşte zararsız istemlere karşı uyanık kalmalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin