İspanyolca konuşan kurbanlar, yeni bir uzaktan erişim trojanını (RAT) ileten bir e-posta kimlik avı kampanyasının hedefi haline geldi. Küçük sıçan en azından Şubat 2024’ten beri.
Siber güvenlik şirketi Cofense’e göre saldırılar öncelikle madencilik, imalat, konaklama ve kamu hizmetleri sektörlerini hedef alıyor.
“Kötü amaçlı yazılımdaki özel kodun büyük çoğunluğu, anti-analiz, komuta ve kontrol merkeziyle (C2) iletişim kurma ve sınırlı olarak kimlik bilgilerini izleme veya toplamaya odaklanarak dosyaları indirme ve çalıştırma üzerine odaklanmış görünüyor” denildi.
Enfeksiyon zincirleri, alıcıları Google Drive’da barındırılan 7-Zip arşiv dosyasına işaret eden gömülü bir URL’ye tıklamaya kandıran finans temalı yemler taşıyan kimlik avı mesajlarıyla başlıyor.
Gözlemlenen diğer yöntemler arasında e-postalara doğrudan eklenen veya başka bir gömülü Google Drive bağlantısı aracılığıyla indirilen HTML veya PDF dosyalarının kullanımı yer alır. Tehdit aktörleri tarafından meşru hizmetlerin kötüye kullanılması yeni bir olgu değildir çünkü güvenli e-posta ağ geçitlerini (SEG’ler) atlamalarına olanak tanır.
Poco RAT’ı yayan HTML dosyaları ise tıklandığında kötü amaçlı yazılımın yürütülebilir dosyasını içeren arşivin indirilmesine yol açan bir bağlantı içeriyor.
Cofense, “Bu taktik, kötü amaçlı yazılımı doğrudan indirmek için bir URL sağlamaktan muhtemelen daha etkili olacaktır; çünkü gömülü URL’yi inceleyen herhangi bir SEG yalnızca meşru görünen HTML dosyasını indirecek ve kontrol edecektir” dedi.
PDF dosyalarında da Poco RAT’ı barındıran bir Google Drive bağlantısı bulunması dışında bir fark bulunmuyor.
Başlatıldığında, Delphi tabanlı kötü amaçlı yazılım tehlikeye atılan Windows ana bilgisayarında kalıcılık kurar ve ek yükler teslim etmek için bir C2 sunucusuyla iletişim kurar. POCO C++ Kitaplıklarını kullanması nedeniyle bu şekilde adlandırılmıştır.
Delphi’nin kullanılması, kampanyanın arkasındaki kimliği belirsiz tehdit aktörlerinin, söz konusu programlama diliyle yazılmış bankacılık trojanlarının hedefi olduğu bilinen Latin Amerika’ya odaklandığının bir işareti.
Bu bağlantı, C2 sunucusunun coğrafi konumu belirlenmeyen enfekte bilgisayarlardan gelen isteklere yanıt vermemesi gerçeğiyle daha da güçleniyor.
Bu gelişme, kötü amaçlı yazılım geliştiricilerinin, kullanıcıları Microsoft 365 oturum açma kimlik bilgilerini toplamak için tasarlanmış kimlik avı sayfalarını ziyaret etmeye kandırmak amacıyla PDF dosyalarına gömülü QR kodlarını giderek daha fazla kullanmaya başlamasıyla ortaya çıktı.
Ayrıca, RAT’lar ve AsyncRAT ve RisePro gibi bilgi hırsızları gibi kötü amaçlı yazılımları iletmek için popüler yazılımların reklamını yapan aldatıcı siteleri kullanan sosyal mühendislik kampanyalarını da takip ediyor.
Benzer veri hırsızlığı saldırıları Hindistan’da da internet kullanıcılarını hedef aldı. Bu saldırılarda, paket teslimatının başarısız olduğu iddia edilerek kullanıcılara bilgilerini güncellemek için verilen bağlantıya tıklamaları yönünde talimat veren sahte SMS mesajları gönderildi.
SMS kimlik avı kampanyası, mali dolandırıcılık yapmak amacıyla smishing mesajları göndermek için ele geçirilmiş veya bilerek kaydedilmiş Apple iCloud hesaplarını (örneğin, “[email protected]”) kullanma geçmişi olan Smishing Triad adlı Çince konuşan bir tehdit grubuna atfedildi.
“Oyuncular, Haziran ayı civarında Hindistan Postası’nı taklit eden alan adları kaydettiler, ancak bunları aktif olarak kullanmıyorlardı, muhtemelen Temmuz ayında görünür hale gelen büyük ölçekli bir faaliyete hazırlanıyorlardı,” dedi Resecurity. “Bu kampanyanın amacı, büyük miktarda kişisel olarak tanımlanabilir bilgi (PII) ve ödeme verisi çalmaktır.”