Saldırganlar, yasal tehdit kılıfı altında casus yazılım yayıyor!

Kaspersky, Haziran 2025’ten bu yana 1.100’den fazla kurumsal kullanıcıyı maksat alan süratle büyüyen bir berbat gayeli yazılım kampanyası tespit etti. Saldırganlar, kendilerini bir hukuk firması üzere tanıtarak gönderdikleri e-postalarda alıcıları, kelamda alan ismi patent ihlalleri nedeniyle dava açmakla tehdit ediyor ve berbat gayeli yazılım yaymayı hedefliyor. Yasal doküman izlenimi veren ekli belgeleri açıp çalıştıran kurbanların aygıtlarına bir Truva atı yükleniyor ve saldırganlar ekran içeriklerini izleyebiliyor. Sıhhat, finans ve eğitim üzere kesimlerdeki kurumlar da bu hücumlardan etkiliyor.

Kampanya 11 Haziran’da gönderilen 95 e-posta ile başladı ve o vakitten bu yana giderek artarak devam ediyor. Saldırganlar, alıcının alan isminin büyük bir markayla bağlantılı patentli kombinasyonları ihlal ettiğini argüman ederek dava tehdidinde bulunmakla kalmıyor, birebir vakitte geçersiz hukuk ofisi ismine patent sahibinin alan ismini satın almakla ilgilendiğini de belirtiyor. E-postada, kelamda ihlallere ait ayrıntıların “belgeleri” içeren ekli arşiv evrakı aracılığıyla incelenebileceği belirtiliyor. Dikkat cazibeli bir nokta ise saldırganların muhtemelen tespitten kaçınmak için direkt parola muhafazalı bir belge göndermek yerine, parola muhafazasız bir arşiv içerisine bir parola muhafazalı arşiv ve bu arşivin şifresini içeren başka bir belge yerleştirmeleri.

Kötü maksatlı e-postaya bir örnek

Kullanıcı arşiv şifresini girdikten ve içindeki kelamda yasal dokümana tıkladıktan sonra, aygıta bir Truva atı yüklendi. Kullanıcının karşısına “Bu doküman bu aygıtta açılamıyor. Diğer bir Windows aygıtında açmayı deneyin.” halinde bir ileti çıktı. Birebir anda art planda gizlice Tor Tarayıcısı indirildi ve yüklendi. Bu tarayıcı aracılığıyla makus maksatlı yazılım, kullanıcının ekran manzaralarını nizamlı olarak Tor ağı üzerinden saldırganlara iletti. Ayrıyeten bu makûs emelli yazılım, bilgisayar her tekrar başlatıldığında otomatik olarak çalışmaya devam ediyor. 

Kaspersky spam analisti Anna Lazaricheva “Kampanya, ruhsal manipülasyon ile teknik aldatmacayı ustalıkla bir halde birleştiriyor. Saldırganlar, yasal süreç korkusunu kullanarak işletmeleri, ekli arşivlerde gizlenmiş ziyanlı belgeleri çalıştırmaya zorluyor. 11 Haziran’dan bu yana süratle büyümesi, kurumların savunmalarını güçlendirmesinin ne kadar acil olduğunu gösteriyor. Mağdurlar, bilinmeyen bilgilerini kaybetme riskiyle karşı karşıya. Bu gelişen tehdide karşı koyabilmek için güçlü e-posta güvenliği, çalışan eğitimi ve süratli olay bildirimi hayati değer taşıyor,” diyor 

Kaspersky, kurumsal ve ferdi kullanıcılara şunları öneriyor:

• E-posta eklerini açmadan evvel dikkatli olun. Kuşkulu görünen hiçbir arşiv belgesini (şifre muhafazalı olanlar dahil) açmayın. Yürütülebilir belgeleri çalıştırmayın; bu çeşit evraklar berbat maksatlı yazılım içerebilir.
• Gönderenin kimliğini doğrulamaya çalışın; istenmeyen e-postalarda belirtilen yasal argümanların yahut kurumların geçerliliğini teyit edin.
• Saldırı teşebbüslerini tespit edip engelleyebilecek uç nokta muhafaza çözümleri uygulayın.
• Personelin atak taktiklerini tanıyabilmesi için eğitim verin.
• Şüpheli oltalama (phishing) e-postalarına eklenmiş evrakların açılması durumunda, derhal bilgi teknolojileri yahut siber güvenlik gruplarına haber verin.

Kaynak: (BYZHA) Beyaz Haber Ajansı