Siber suç forumlarında Impact Solutions adlı yeni bir araç seti ortaya çıktı ve gelişmiş kimlik avı kampanyaları hazırlamak için kapsamlı, kullanıcı dostu bir çerçeve sundu.
Kötü amaçlı yazılım sunumunu demokratikleştirerek, Impact Solutions, düşük beceriyi tehdit aktörlerini bile hem son kullanıcıları hem de geleneksel güvenlik filtrelerini atlamaya teşvik ederek görünüşte zararsız ekler aracılığıyla kötü niyetli yükler sunar.
Bu makale, etki çözümlerinin mekaniğini, sağladığı sosyal mühendislik taktiklerini ve savunma önlemleri kuruluşların bu saldırıları ölçekte engellemek için benimseyebileceğini araştırıyor.
Impact Solutions, silahlandırılmış dosyaların oluşturulmasını otomatikleştiren hepsi bir arada bir yük dağıtım platformu olarak tanıtılır.
Rapora göre, nokta ve tıklama arayüzü, saldırganlar herhangi bir kodlama uzmanlığı olmadan çeşitli kötü amaçlı ekler üretebilir. Çekirdek modüller şunları içerir:
- Meşru belgeler olarak maskelenen Windows kısayolu (.lnk) ekleri.
- HTML kaçakçılık saldırıları için kendi kendine yeten HTML dosyaları.
- Gömülü komut dosyaları ile kötü niyetli SVG görüntüleri.
- Windows “Win+R” (ClickFix) Çalıştır iletişim hilesinden yararlanan yükler.
.Lnk üreticisi özellikle sofistike. Saldırganlar, PDF faturası gibi bir tuzak dosyası seçer ve kısayol gizlice yürütülebilir bir yüke işaret ederken görüntülenen simge olarak atar.
Tıkladıktan sonra, araç seti gizli indiriciyi arka planda başlatır ve aynı zamanda gerçek PDF’yi açar ve kurbanları kötü amaçlı yazılım kurulumundan habersiz bırakır.
Ek özellikler, kullanıcı hesabı kontrolü (UAC) istemlerini atlamak, sanal makineleri algılamak ve kaçınan sanal alan analizini atlamak için uzak sunuculardan ve yerleşik tekniklerden ikincil kötü amaçlı yazılımlar getiren aşamalı yükler içerir.
Geliştiriciler, kod imzalama sertifikalarına ihtiyaç duymadan Microsoft SmartScreen ve çoğu antivirüs motorunu geçebilir.
Sosyal Mühendislik Cazibesi
Etki çözümlerinin gerçek gücü sosyal mühendislik yeteneklerinde yatmaktadır. E -posta şablonları, yazılım güvenlik açıklarından ziyade insan güvenini kullanacak şekilde tasarlanan tanıdık iş temaları – ücretlendirilmemiş faturalar, satın alma siparişleri veya bulut hizmet bildirimleri – etrafında toplanır.
Bir senaryoda, bir alıcı, gerçekte bir .lnk dosyası olan bir “fatura12345.pdf” ek alır. Açıldığında, kısayol sessizce kullanıcının AppData klasörüne kötü amaçlı yazılım indirmek için bir komut yürütür, ardından meşruiyet yanılsamasını korumak için kukla bir fatura belgesi görüntüler.
Impact Solutions ayrıca çok aşamalı HTML saldırıları sunar. Saldırganlar, kurbanları faturalarını görüntülemek için bir düğmeyi tıklamaya iten bir “Güvenli Fatura Görüntüleyicisi” HTML dosyasını e -posta ile gönderir.
Perde arkasında, sayfa bir dosya üzerinden bir yük başlatır: // Path veya kullanıcılara tarayıcı ayarlarını etkinleştirme, rutin izin talebi kisvesi altında kötü amaçlı yazılım yürütmesini tetikler.
Başka bir şablon, kullanıcılara Win+R tuşlarına bastığını ve bir kodu yapıştırmasını öğreterek tanıdık Cloudflare “Tarayıcınızı Kontrol Etme” ekranını paro taşır.
Kullanıcıya göre, sayfa zaten yapıştırıldıktan sonra yürütülen panoya Base64 kodlu bir PowerShell komutunu kopyalamıştır.
Bu aldatıcı akışlar, teknik olmayan kullanıcıları kendi uzlaşmalarını başlatmaya yönelik güvenilir markalaşmaya ve net talimatlara dayanmaktadır.
Davranışsal AI İleri Sosyal Mühendisliği Nasıl Durduruyor?
Geleneksel imzaya dayalı savunmalar, sürekli olarak taşıma yüklerini değiştiren ve simge sahtekarlığı ve kum havuzu kaçakçılığının arkasına saklanan Impact Solutions gibi kitlere karşı giderek daha fazla etkisizdir.
Buna karşılık, davranışsal AI platformları dosya imzalarından ziyade iletişim kalıplarındaki ve bağlamdaki anomalileri tespit etmeye odaklanır.
Örneğin, Anormal Security’nin AI motoru, bir kuruluşun normal e -posta davranışını – eser ilişkileri, yazma stili ve tipik bağlanma türleri – öğrenir ve bir sosyal mühendislik saldırısını gösteren sapmaları bayrak eder.
Yeni bir gönderenden ani bir “fatura” ekleri veya Win+R üzerinden bir dosya çalıştırmak için alışılmadık bir istek, zararlı yükler çalışanlara ulaşmadan önce otomatik karantinaları tetikleyebilir.
Kimlik avı kitleri daha erişilebilir ve sofistike hale geldikçe, kuruluşlar savunmalarını reaktif imza güncellemelerinden proaktif davranışsal analizlere kaydırmalıdır.
Güvenlik ekipleri, oyundaki insan merkezli taktikleri anlayarak ve yeni saldırı vektörlerine uyum sağlayan AI’yı konuşlandırarak, etki çözümü tarzı kampanyaları engelleyebilir ve kullanıcıları sürekli gelişen tehdit manzarasına karşı koruyabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.