Araştırmacılar, 2019’dan bu yana Portekiz finans kurumlarına yeniden odaklanarak faaliyet gösteren bir kötü amaçlı yazılım türü olan Lampion bankacılık truva atından yararlanan karmaşık bir kampanyayı ortaya çıkardı.
Bu operasyonların arkasındaki tehdit aktörü grubu, geleneksel tespitleri giderek zorlaştıran yeni sosyal mühendislik tekniklerini uygulamaya koyarak taktiklerini önemli ölçüde geliştirdi.
Bu son yinelemeyi diğerlerinden ayıran şey, kullanıcıları kötü amaçlı yükleri çalıştırmadan önce teknik sorunları düzeltmeleri gerektiğine ikna eden aldatıcı bir yöntem olan ClickFix yemlerinin entegrasyonudur.
Bulaşma vektörü, meşru banka transferi bildirimlerini taklit eden, dikkatle hazırlanmış kimlik avı e-postalarıyla başlar.
Tehdit aktörleri, bu mesajları dağıtmak için güvenliği ihlal edilmiş e-posta hesaplarını kullanarak, onlara sıradan incelemelerin gözden kaçırabileceği orijinallik kazandırır.
E-postalar, doğrudan bağlantılar yerine ZIP dosyası ekleri içeriyor; bu, 2024 Eylül ayının ortalarında uygulanan ve grubun güvenlik kontrollerini atlamaya yönelik uyarlanabilir yaklaşımını gösteren taktiksel bir değişiklik.
Bitsight analistleri, kampanyanın evrimini üç farklı zaman diliminde belirledi; en dikkate değer dönüşüm, ClickFix sosyal mühendisliğinin saldırı zincirine girdiği Aralık 2024’ün ortasında meydana geldi.
.webp)
Araştırmacılar, kötü amaçlı yazılımın aktif bulaşma oranını günde birkaç düzine olarak belgeledi; yüzlerce aktif sistem şu anda saldırganların kontrolü altındaydı.
Bu ölçek, kampanyanın etkinliğini ve grubun operasyonel gelişmişliğini yansıtıyor. Enfeksiyon zinciri, her adımda tespit edilmekten kaçınmak için tasarlanmış çok aşamalı bir mimariyi ortaya koyuyor.
Kurbanlar aldatıcı bir şekilde etiketlenmiş eki indirdikten sonra, tanıdık kullanıcı arayüzü öğeleriyle tamamlanmış meşru bir Windows hata bildirimi gibi görünen bir şeyle karşılaşıyorlar.
.webp)
Bu ClickFix cazibesi, kullanıcıları gerçek kötü amaçlı yazılım dağıtımını başlatan bağlantılara tıklamaya yönlendirerek, enfeksiyon süreci perde arkasında ortaya çıkarken sahte bir güvenlik duygusu yaratıyor.
Enfeksiyon Mekanizması ve Kalıcılık Taktikleri
Bu kampanyayı destekleyen teknik altyapı, operasyonel güvenlik konusunda önemli bir uzmanlığı ortaya koyuyor.
Bulaşma zinciri, gizlenmiş Visual Basic komut dosyaları aracılığıyla ilerler; her aşamada, çalma işlevini içeren son DLL yüküne ulaşana kadar kötü niyetli niyet daha da gizlenir.
Özellikle, Haziran 2025 civarında ilk aşamaya kalıcılık mekanizmaları eklenerek kötü amaçlı yazılımın sistem yeniden başlatmalarından sağ çıkmasını ve oturumlar arasında erişimi sürdürmesini sağladı.
Tehdit aktörleri, birden fazla bulut sağlayıcıyı kapsayan coğrafi olarak dağıtılmış altyapıyı kullanarak operasyonlarını etkili bir şekilde bölümlere ayırıyor.
Altyapılarındaki IP kara listeye alma yetenekleri, güvenlik araştırmacılarının enfeksiyon zincirinin tamamını izlemesini engellerken, aynı zamanda hangi kurbanların hangi verileri alacağı konusunda ayrıntılı kontrole de olanak tanıyor.
Bitsight araştırmacıları, her bulaşma aşamasındaki yüzlerce benzersiz örneğin otomatik üretime işaret ettiğini, bunun da grubun saldırı döngüsü boyunca operasyonel güvenliği korurken operasyonlarını verimli bir şekilde ölçeklendirmek için yeterli teknik yeteneğe sahip olduğunu gösterdiğini belirtti.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
