Yeni çift kenarlı e-posta saldırısı Office 365 kimlik bilgilerini çalar ve kötü amaçlı yazılım sunar

   Nisan 9, 2025  Posted in GBHackers


Siber güvenlik uzmanları, Office 365 kimlik bilgilerini tehlikeye atmak ve kötü amaçlı yazılım sunmak için çift kenarlı bir taktik kullanan ve dünya çapındaki kuruluşlar için önemli riskler oluşturan sofistike bir kimlik avı kampanyası ortaya çıkardılar.

Cofense Kimlik Avı Savunma Merkezi (PDC) tarafından tanımlanan kampanya, kurbanları güvenilir bir dosya paylaşım hizmetinden meşru bir e-posta gibi görünmek için kandırmak için bir bahane olarak bir dosya silme hatırlatıcısı kullanıyor.

E -posta gövdesi

Mağdurlar köprüye bağlı belge adını tıkladıklarında, e -postanın güvenilirliğini artırarak meşru bir files.fm bağlantısına yönlendirilirler. Ancak, aldatmaca burada ortaya çıkıyor.

– Reklamcılık –
Google HaberleriGoogle Haberleri

Paylaşılan PDF dosyasının açılması, kurbanlara bir ‘seçeneği’ sunan iki farklı saldırıyı tetikler: Ya Office 365 kimlik bilgileri için bir kimlik avı denemesi veya kötü amaçlı yazılımların indirilmesi.

Çift kenarlı e-posta saldırısıÇift kenarlı e-posta saldırısı
Açılan PDF dosyası

Office 365 kimlik bilgileri için kimlik avı

“Önizleme” köprüsünü tıkladıktan sonra, kurbanlar Microsoft’un kendisini taklit eden aldatıcı bir giriş sayfasına götürülür ve kimlik bilgilerini girmelerini ister.

Çift kenarlı e-posta saldırısıÇift kenarlı e-posta saldırısı
Sahte Microsoft Giriş (Phish Page)

Bu sayfa, güvenilir görünürken, yanlış bir URL ve paylaşılan bir belge için olağandışı kimlik bilgileri gibi bir kimlik avı belirtileri sunar.

Tersine, “İndir” bağlantısı, ‘Securedonedrive.clientsetup.exe’ adlı yürütülebilir bir dosyanın indirilmesini başlatır.

OneDrive yükleyici olarak gizlenen bu dosya, uzlaşmış ağlardaki yetkisiz erişim ve yanal hareket için meşru ConnectionWise aracını kaçıran ConnectWise Rat (uzaktan erişim Truvaan) kötü amaçlı yazılımını serbest bırakır.

Teknik analiz

Yürütme üzerine, kötü amaçlı yazılım, Windows kayıt defteri değişiklikleri yoluyla kalıcılığını sağlayarak ve enfekte olmuş sistemleri uzaktan yönetmek için komuta ve kontrol sunucularına bağlanarak kendini bir sistem hizmeti olarak yükler.

Teknik analiz şu ortaya koyuyor:

  • Uygulamak: ConnectWise’ın meşru yazılımının kullanıldığını gösteren screenconnect.clientservice.exe ve screenconnect.windowsclient.exe adlı kötü amaçlı yazılım işlemleri.
  • Uzaktan bağlantı: Maliken olmayan bir ConnectWise IP ile bağlantı ancak kontrol, kaçınma ve kontrol için katmanlı bir yaklaşım sergileyen ayrı bir komut ve kontrol sunucusu aracılığıyla düzenlenir.

Bu saldırı, siber güvenlikte kullanıcı farkındalığı ve eğitime yönelik kritik ihtiyacın altını çizmektedir. Kuruluşlar:

  • Çalışanları şüpheli e -postaları, özellikle beklenmedik istekleri veya olağandışı gönderen adresleri olanları tanımak konusunda eğitin.
  • Bu tür sofistike tehditlere karşı savunmaları artırmak için CoFense Yönetilen Kimlik Avı Tespit ve Yanıtı (MPDR) gibi çözümler uygulayın.

Bu saldırının teknik karmaşıklığı, sadece siber tehditlerin gelişen doğasını değil, aynı zamanda dijital altyapıları korumak için insan uyanıklığını teknolojik güvencelerle entegre etmenin önemini vurgulamaktadır.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link