Kaspersky, Haziran 2025’ten bu yana 1.100’den fazla kurumsal kullanıcıyı amaç alan süratle büyüyen bir makûs hedefli yazılım kampanyası tespit etti. Saldırganlar, kendilerini bir hukuk firması üzere tanıtarak gönderdikleri e-postalarda alıcıları, kelamda alan ismi patent ihlalleri nedeniyle dava açmakla tehdit ediyor ve berbat maksatlı yazılım yaymayı hedefliyor. Yasal evrak izlenimi veren ekli belgeleri açıp çalıştıran kurbanların aygıtlarına bir Truva atı yükleniyor ve saldırganlar ekran içeriklerini izleyebiliyor. Sıhhat, finans ve eğitim üzere bölümlerdeki kurumlar da bu ataklardan etkiliyor.
Kampanya 11 Haziran’da gönderilen 95 e-posta ile başladı ve o vakitten bu yana giderek artarak devam ediyor. Saldırganlar, alıcının alan isminin büyük bir markayla bağlantılı patentli kombinasyonları ihlal ettiğini sav ederek dava tehdidinde bulunmakla kalmıyor, tıpkı vakitte uydurma hukuk ofisi ismine patent sahibinin alan ismini satın almakla ilgilendiğini de belirtiyor. E-postada, kelamda ihlallere ait ayrıntıların “belgeleri” içeren ekli arşiv belgesi aracılığıyla incelenebileceği belirtiliyor. Dikkat cazip bir nokta ise saldırganların muhtemelen tespitten kaçınmak için direkt parola muhafazalı bir belge göndermek yerine, parola muhafazasız bir arşiv içerisine bir parola muhafazalı arşiv ve bu arşivin şifresini içeren farklı bir belge yerleştirmeleri.
Kötü maksatlı e-postaya bir örnek
Kullanıcı arşiv şifresini girdikten ve içindeki kelamda yasal evraka tıkladıktan sonra, aygıta bir Truva atı yüklendi. Kullanıcının karşısına “Bu doküman bu aygıtta açılamıyor. Öteki bir Windows aygıtında açmayı deneyin.” formunda bir bildiri çıktı. Tıpkı anda art planda gizlice Tor Tarayıcısı indirildi ve yüklendi. Bu tarayıcı aracılığıyla makus emelli yazılım, kullanıcının ekran imajlarını tertipli olarak Tor ağı üzerinden saldırganlara iletti. Ayrıyeten bu makûs maksatlı yazılım, bilgisayar her yine başlatıldığında otomatik olarak çalışmaya devam ediyor.
Kaspersky spam analisti Anna Lazaricheva “Kampanya, ruhsal manipülasyon ile teknik aldatmacayı ustalıkla bir formda birleştiriyor. Saldırganlar, yasal süreç korkusunu kullanarak işletmeleri, ekli arşivlerde gizlenmiş ziyanlı evrakları çalıştırmaya zorluyor. 11 Haziran’dan bu yana süratle büyümesi, kurumların savunmalarını güçlendirmesinin ne kadar acil olduğunu gösteriyor. Mağdurlar, zımnî datalarını kaybetme riskiyle karşı karşıya. Bu gelişen tehdide karşı koyabilmek için güçlü e-posta güvenliği, çalışan eğitimi ve süratli olay bildirimi hayati değer taşıyor,” diyor
Kaspersky, kurumsal ve ferdî kullanıcılara şunları öneriyor:
- E-posta eklerini açmadan evvel dikkatli olun. Kuşkulu görünen hiçbir arşiv belgesini (şifre muhafazalı olanlar dahil) açmayın. Yürütülebilir belgeleri çalıştırmayın; bu cins evraklar berbat hedefli yazılım içerebilir.
- Gönderenin kimliğini doğrulamaya çalışın; istenmeyen e-postalarda belirtilen yasal tezlerin yahut kurumların geçerliliğini teyit edin.
- Saldırı teşebbüslerini tespit edip engelleyebilecek uç nokta müdafaa çözümleri uygulayın.
- Personelin hücum taktiklerini tanıyabilmesi için eğitim verin.
- Şüpheli oltalama (phishing) e-postalarına eklenmiş belgelerin açılması durumunda, derhal bilgi teknolojileri yahut siber güvenlik gruplarına haber verin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
