Sosyal mühendislik kullanarak kurbanları kötü amaçlı PowerShell komut dosyalarını çalıştırmaya kandıran karmaşık bir kimlik avı kampanyası, Microsoft OneDrive kullanıcılarını hedef alıyor.
Saldırı, bir DNS sorununun dosya erişimini engellediğini iddia ederek sahte bir aciliyet duygusu yaratıyor, kullanıcıları PowerShell betiğinin yürütülmesini tetikleyen bir düğmeye tıklamaya teşvik ediyor ve etkilenen sistemleri tehlikeye atıyor.
E-postayla Taşınan Bir Kimlik Avı Saldırısı Sosyal Mühendisliği Kullanıyor
Bir saldırı, e-posta yoluyla iletilen kötü amaçlı bir .html dosyasıyla başlar. Yürütme sırasında, dosya bir hata mesajını simüle eden sahte bir OneDrive sayfası görüntüler.
Aciliyet ve panik yaratmak için tasarlanan hata mesajı, kullanıcıları DNS önbelleklerini manuel olarak güncellemeye yönlendirmeyi, büyük olasılıkla onları tehlikeye atılmış bir siteye yönlendirmeyi veya kötü amaçlı yazılım indirme işlemini başlatmayı amaçlıyor.
Geçerli bir hata kodunu kullanan bu saldırı yöntemi, görsel öğelerin yaygın kullanımından yararlanarak güvenilirliği artırıyor.
Web sayfasındaki “Ayrıntılar” düğmesi, meşru bir Microsoft Learn DNS sorun giderme kaynağına bağlantı verirken, “Nasıl Düzeltilir” düğmesi, gömülü bir JavaScript betiği içinde “GD” adlı kötü amaçlı bir işlev çağrısı başlatır ve ek yanıltıcı talimatlar görüntüler.
Güvenilir bilgilerle acil uyarıların aldatıcı bir şekilde bir araya getirilmesi, kullanıcıları zararlı kodlar çalıştırmaya zorlamak için tasarlanmış bir sosyal mühendislik saldırısıdır.
“Nasıl Düzeltilir” düğmesi, Windows PowerShell terminalinde belirli bir komutun yürütülmesini isteyen bir kullanıcı arayüzü sunar; bu, Hızlı Bağlantı menüsünü çağırmayı, PowerShell terminalini başlatmayı, önceden belirlenmiş bir komutu yapıştırmayı ve yürütmeyi içerir.
Sağlanan GD işlevi, büyük olasılıkla komut tarafından doğrudan hedef alınan bir sistem bileşeni veya işlemiyle ilgilidir ve bu da altta yatan sorun için olası bir sistem düzeyinde düzeltmenin mümkün olduğunu gösterir.
Betik başlangıçta Base64 kodlu bir dizeyi (muhtemelen bir komut başlığı) atob() metodunu kullanarak çözer ve ardından execCommand metodu aracılığıyla panoya kopyalar.
Komutun bir kısmı pano içeriğinde Base64 kodlu olarak kalır. Bu son bölümün kodunun çözülmesi, potansiyel olarak ağ yapılandırma değişiklikleri, dosya indirmeleri ve kötü amaçlı betik yürütmeyi içeren tam komutu ortaya çıkarır.
Analiz edilen bir komut dizisi, kullanıcıları kötü amaçlı HTML dosyalarını açmaya teşvik etmek için sosyal mühendislikten yararlanıyor.
Çalıştırıldığında DNS önbelleğini temizler, gizli bir arşivi yerel bir dizine indirir, kötü amaçlı bir betiği ve onun yürütücüsünü çıkarır ve betiği AutoIt3 kullanarak sessizce çalıştırır.
Trellix’in tespit yetenekleri bu saldırı zincirini hafifletirken, HTML tabanlı istismarların devam eden tehdidini ve başarılı saldırıları önlemede kullanıcı eğitiminin değerini vurguladı.
Saldırganlar, insan hatalarından yararlanarak ağlara sızabilir, hassas verileri sızdırabilir ve önemli miktarda mali ve itibar kaybına yol açabilir.
Bu saldırı sonucu tehlikeye atılan sistemlerin coğrafi dağılımını ortaya koyarak, bu tür tehditlerin küresel niteliğini vurguluyor.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access