Silah haline getirilmiş QR kodlarından yararlanan, özellikle görünüşte zararsız belge inceleme istekleriyle Microsoft kullanıcılarını hedef alan karmaşık bir yok etme kampanyası ortaya çıkarıldı.
Saldırganlar, QR kodunu iki ayrı görüntüye bölmek, standart dışı renk paletleri kullanmak ve kodu doğrudan PDF içerik akışları aracılığıyla çizmek gibi gelişmiş kaçırma tekniklerinden yararlanarak geleneksel antivirüs ve PDF tarama savunmalarını aşabilir.
Bu yeni susturma dalgası, gelişen tehdit ortamının altını çiziyor ve dijital belgelerle etkileşimde bulunurken kullanıcıların daha dikkatli olması ihtiyacını vurguluyor.
Kampanya, DocuSign’dan geliyormuş gibi görünen ve alıcılara inceleyip imzalayacakları bir belge aldıklarını bildiren bir kimlik avı e-postasıyla başlıyor.
E-posta gövdesi, göz alıcı ancak standart olmayan bir renk spektrumunda oluşturulmuş bir QR kodu içerir; bu, geleneksel QR tarayıcı buluşsal yöntemlerini engellerken belgenin tasarımına uyum sağlamasını sağlar.
Analiz, QR kodunun tek bir taramalı görüntü olmadığını, bunun yerine PDF dosyası içinde iki görüntü nesnesine bölündüğünü ortaya koyuyor. Kodun her yarısı bağımsız olarak işlenir ve görüntülendiğinde tek bir QR deseni olarak görünecek şekilde konumlandırılır.
Bu bölme tekniği, genellikle tam görüntü QR modellerini arayan imza tabanlı algılama sistemlerinden kaçınır.
Ayrıca saldırganlar, QR kodunu standart bir görüntü olarak gömmek yerine PDF içerik akışı komutlarını kullanarak QR modüllerini programlı olarak çiziyor.
Her karanlık ve aydınlık modül için kesin çizim talimatları vererek, tanınabilir herhangi bir QR görüntü dosyasının yerleştirilmesini önlerler.
Bu içerik akışı yaklaşımı, kodu insan izleyiciler ve mobil kamera tarayıcıları için doğru bir şekilde işler, ancak görüntü çıkarmaya dayalı tarayıcıları tamamen atlar. Sonuç, birçok PDF güvenlik filtresini fark edilmeden geçebilen son derece dayanıklı bir dağıtım mekanizmasıdır.
Saldırı İş Akışı ve Yük Teslimatı
Bir kullanıcı aldatıcı QR kodunu bir akıllı telefon veya tabletle taradığında, resmi Microsoft portalını taklit etmek üzere tasarlanmış bir etki alanında barındırılan sahte bir Microsoft oturum açma sayfasına yönlendirilir.
Sayfada, meşru Microsoft markasına sahip, kullanıcılardan “güvenli belge erişimi” için kimlik bilgilerini girmelerini isteyen şık bir arayüz bulunuyor. Yakalanan kimlik bilgileri gerçek zamanlı olarak sızdırılarak tehdit aktörlerinin kurumsal e-postaya, OneDrive belgelerine ve diğer Microsoft bulut hizmetlerine yetkisiz giriş yapmasına olanak sağlanır.
Kimlik bilgisi hırsızlığı sonrasında saldırganlar çok faktörlü atlama simülasyonları uygulayabilir, kullanıcılara anlık bildirim istemleri gönderebilir veya kalıcılığı korumak için hesap ayarlarını ustaca değiştirebilir.
Ek olarak, güvenliği ihlal edilmiş hesaplar dahili olarak daha fazla kimlik avı mesajı yaymak için kullanılır ve daha sonra sosyal mühendislik saldırıları başlatmak için kuruluş içindeki güvenden yararlanılır.
Bazı durumlarda, sızdırılan veriler karanlık web pazarlarında paraya dönüştürülürken, diğer kampanyalar kurbanın ağına fidye yazılımı yükleri veya veri kazıyan kötü amaçlı yazılımlar yerleştirmeye yöneliyor.
Azaltmalar
Bu yeni yok etme tehdidine karşı savunma yapmak, teknik kontrollerin, kullanıcı farkındalığı eğitiminin ve sağlam olay müdahale planlamasının bir kombinasyonunu gerektirir.
Kuruluşlar, görüntü olmayan QR çizim talimatlarını tespit edebilen içerik akışı analizini içeren katı PDF tarama politikalarını uygulamalıdır.
Gelişmiş tehdit koruma çözümleri, PDF oluşturma komutlarını inceleyecek ve tek bir QR kodu oluşturan birden fazla görüntü nesnesi gibi anormallikleri işaretleyecek şekilde yapılandırılmalıdır.
Kullanıcı tarafında, Microsoft müşterilerinin, taramadan önce QR kodu kaynaklarını doğrulamak ve beklenmedik belge isteklerini alternatif kanallar aracılığıyla çapraz kontrol etmek konusunda eğitilmesi gerekiyor. QR ile taranan bağlantılar yerine doğrudan resmi belge portallarının kullanımını teşvik etmek, manipüle edilmiş QR kodlarına maruz kalmayı en aza indirebilir.
Kimlik bilgilerine dayalı hesapların ele geçirilmesi riskini azaltmak için, SMS veya uygulama bildirimleri yerine donanım belirteçleri veya biyometrik yöntemler kullanılarak çok faktörlü kimlik doğrulamanın tüm hesaplarda uygulanması gerekir.
Buna paralel olarak, güvenlik ekiplerinin anormal oturum açma girişimlerini ve yasal Microsoft uç noktalarına çok benzeyen etki alanı kayıtlarını izlemesi gerekiyor.
Sahte alan adlarına yönelik hızlı yayından kaldırma prosedürleri ve barındırma sağlayıcılarıyla koordineli açıklama, saldırganlara yönelik fırsat penceresini önemli ölçüde azaltabilir.
Proaktif tehdit avcılığı ve istihbarat paylaşımı (özellikle yüklerin durdurulmasında bulunan uzlaşma göstergelerine ilişkin) kurumsal dayanıklılığı daha da güçlendirecektir.
Kaçırma teknikleri ilerlemeye devam ettikçe, kaçınma yöntemlerini yanıltıcı markalamayla birleştirmek, uyanık ve güvende kalmak bir zorunluluk olmaya devam ediyor. Kullanıcılar ve güvenlik ekipleri aynı şekilde tetikte kalmalı, silahlı QR kodu saldırılarına karşı koymak ve günümüzün dinamik siber güvenlik ortamında kritik Microsoft varlıklarını korumak için katmanlı savunmaları benimsemelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.