Saldırganlar, yalnızca kötü amaçlı e-postaları yaymak için değil, aynı zamanda kötü amaçlı yazılım barındırmak ve çalınan verileri toplamak için daha önce güvenliği ihlal edilmiş e-posta hesaplarını ve şirket sunucularını kullanır. ESET araştırmacıları, Mayıs 2024'te Polonya, Romanya ve İtalya'daki küçük ve orta ölçekli işletmelere (KOBİ'ler) karşı çeşitli kötü amaçlı yazılım ailelerini kullanan dokuz yaygın kimlik avı saldırısını inceledi. Önceki yıla kıyasla bölgeyi hedef alan saldırganlar dağıtım aracı olarak AceCryptor'dan ModiLoader'a geçti ve daha fazla kötü amaçlı yazılım ekledi. Saldırganlar, daha önce ele geçirilen e-posta hesaplarını ve şirket sunucularını yalnızca kötü amaçlı e-postaları yaymak için değil, aynı zamanda kötü amaçlı yazılım barındırmak ve çalınan verileri toplamak için de kullandı. Yalnızca Mayıs 2024'te ESET ürünleri, 21.000'den fazlası (%80) Polonya'da olmak üzere 26.000'den fazla kullanıcıyı bu tehdide karşı korudu. Kimlik avı kampanyalarını analiz eden Jakub Kaloč “Mayıs ayında yedisi Polonya'yı hedef alan toplam dokuz kimlik avı kampanyası kaydettik” dedi. “Ele geçirilen makinelere iletilen ve başlatılan son yük değişiklik gösterdi; Formbook'un, Tesla Agent uzaktan erişim ve bilgi hırsızlığı Truva atının ve hassas bilgileri çalabilen uzaktan kontrol ve gözetim yazılımı Rescoms RAT'ın çalınması hakkında bilgi sağlayan kampanyalar tespit ettik” dedi. açıkladı. Gelen e-postalara dikkat edinGenel olarak tüm kampanyalar benzer bir senaryoyu takip ediyor. Hedef şirket iş teklifi içeren bir e-posta alır. 2023'ün ikinci yarısındaki kimlik avı kampanyalarında olduğu gibi saldırganlar, kampanya başarı oranlarını artırmak için tercih edilen bir teknik olarak mevcut şirketlerin ve çalışanlarının kimliğine bürünüyor. Bu şekilde, potansiyel kurban olağan tehlike işaretlerini arasa bile, e-posta mümkün olduğu kadar meşru göründüğü için bunları fark etmeyebilir. Tüm kampanyalardaki e-postalar, potansiyel kurbanın e-posta metnine göre açması teşvik edilen kötü amaçlı bir ek içerir. Dosyanın kendisi, ModiLoader yürütülebilir dosyasını içeren bir ISO dosyası veya arşividir (ModiLoader, kötü amaçlı yazılımları indirme ve başlatma gibi basit görevi olan bir Delphi indiricisidir). İki kampanyada ModiLoader örnekleri, bir Macar şirketine ait güvenliği ihlal edilmiş bir sunucudan sonraki aşamadaki kötü amaçlı yazılımları indirecek şekilde yapılandırıldı. Kampanyaların geri kalanı için ModiLoader bir sonraki aşamayı Microsoft'un OneDrive bulut depolama alanından indirdi. Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–