Microsoft, kurumsal ağlara ilk erişime izin veren uzaktan erişim kötü amaçlı yazılımıyla muhasebe firmalarını ve vergi mükelleflerini hedef alan bir kimlik avı kampanyası konusunda uyarıda bulunuyor.
ABD yıllık vergi sezonunun sonuna yaklaşırken, muhasebeciler vergi beyannamelerini tamamlamak ve dosyalamak için müşterilerin vergi belgelerini toplamaya çalışıyorlar.
Bu nedenle, tehdit aktörlerinin, genellikle daha az meşgul olduklarında daha dikkatli olacakları kötü amaçlı dosyaları yanlışlıkla açtıklarını umarak, vergi hazırlayıcıları hedeflemeleri için ideal bir zamandır.
Bu, Microsoft’un vergi uzmanlarını Remcos uzaktan erişim truva atı kötü amaçlı yazılımını yüklemelerini hedefleyen yeni bir kimlik avı dolandırıcılığında tam olarak gördüğü şeydir.
Microsoft yeni bir raporda, “ABD Vergi Günü yaklaşırken, Microsoft, bu yılın Şubat ayından itibaren Remcos uzaktan erişim truva atını (RAT) teslim etmek ve hedef ağları tehlikeye atmak için muhasebe ve vergi beyannamesi hazırlama firmalarını hedef alan kimlik avı saldırıları gözlemledi.”
Vergi uzmanlarını hedefleme
Kimlik avı kampanyası, müşteri gibi davranan e-postaların, iadelerini tamamlamak için gerekli belgeleri göndermesiyle başlar.
Microsoft tarafından görülen bir kimlik avı e-postasında “Daha erken yanıt vermediğim için özür dilerim; bireysel vergi iademiz basit olmalı ve fazla zamanınızı almamalı” yazıyor.
“Aşağıya yüklediğim W-2’ler, 1099’lar, ipotekler, faiz, bağışlar, tıbbi yatırımlar, HSA’lar ve benzeri gibi en son yıllara ait belgelerimizin bir kopyasına ihtiyacınız olacağını düşünüyorum.”
Kaynak: Microsoft
Bu kimlik avı e-postaları, güvenlik yazılımı tarafından algılanmaktan kaçınmak için tıklama izleme hizmetlerini kullanan ve sonuçta bir ZIP arşivi indiren bir dosya barındırma sitesine yönlendiren bağlantılar içerir.
Bu ZIP arşivi, çeşitli vergi formları için PDF dosyaları gibi görünen ancak aslında Windows kısayolları olan çok sayıda dosya içerir.
Kaynak: Microsoft
Çift tıklandığında, bu Windows kısayolları, uzak bir ana bilgisayardan C:\
Aynı zamanda, VBS komut dosyası, hedeflenen kişi tarafından şüphe uyandırmamak için bir sahte PDF dosyası indirecek ve Microsoft Edge’de açacaktır.
Microsoft, bu VBS dosyalarının, Remcos uzaktan erişim truva atını yükleyen GuLoader kötü amaçlı yazılımını indirip çalıştıracağını söylüyor.
Kaynak: Microsoft
Remcos, tehdit aktörlerinin kurumsal ağlara ilk erişimi elde etmek için kimlik avı kampanyalarında yaygın olarak kullandıkları bir uzaktan erişim truva atıdır.
Tehdit aktörleri bu erişimi kullanarak ağ üzerinden daha fazla yayılabilir, verileri çalabilir ve bir cihaza başka kötü amaçlı yazılımlar yerleştirebilir.
Microsoft, kimlik avı kampanyalarında genellikle vergiyle ilgili temalar kullanılsa da, bu kampanyanın yalnızca vergi hazırlığı yapan firmaları ve bireyleri hedef aldığı için alışılmadık olduğunu söylüyor.
“Vergi Günü ve diğer önemli güncel olaylarda bunun gibi sosyal mühendislik cazibeleri yaygın olsa da, bu kampanyalar özeldir ve alışılmadık bir şekilde hedeflenir.”
“Bu tehdidin hedefleri yalnızca vergi hazırlığı, finansal hizmetler, CPA ve muhasebe firmaları ile defter tutma ve vergi ile uğraşan profesyonel hizmet firmaları ile ilgilenen kuruluşlardır.”
Muhasebeciler, bireyler ve şirketler için son derece hassas veriler bulundurduklarından, bu tür bir kuruluştaki bir veri ihlali, büyük bir insan grubuna önemli ölçüde zarar verebilir.
Bu kampanyadaki kötü amaçlı yazılımın ilk yükleyicileri, PDF dosyalarını taklit eden kötü amaçlı dosyalar olduğundan, kullanıcıların şüpheli dosyaları tanımlayabilmeleri için Windows’ta dosya uzantılarının görüntülenmesini etkinleştirmelerini her zaman öneririz.
Ne yazık ki, Windows kısayolları, .lnk dosya uzantısını kullanan ancak Dosya Gezgini’nde görüntülendiğinde dosya uzantısını göstermeyen özel bir dosya türüdür.
Bu davranış, bir dosyanın kılık değiştirmiş bir kısayol olduğunun algılanmasını zorlaştırır. Ancak, Dosya Gezgini’nde ‘Ayrıntılar’ modunda dosyaların listelenmesi, bunun Windows Kısayolu olduğunu gösterecek ve fark edilmesini biraz kolaylaştıracaktır.
Sonuç olarak, meşru bir kişiden gönderilip gönderilmediğini onaylamadıkça hiç kimse e-postalardaki bağlantılara veya ekleri açmamalıdır. Aksi takdirde, e-postayı silin.