Kaspersky, Haziran 2025’ten bu yana 1.100’den fazla kurumsal kullanıcıyı amaç alan süratle büyüyen bir makus emelli yazılım kampanyası tespit etti. Saldırganlar, kendilerini bir hukuk firması üzere tanıtarak gönderdikleri e-postalarda alıcıları, kelamda alan ismi patent ihlalleri nedeniyle dava açmakla tehdit ediyor ve makûs emelli yazılım yaymayı hedefliyor. Yasal doküman izlenimi veren ekli evrakları açıp çalıştıran kurbanların aygıtlarına bir Truva atı yükleniyor ve saldırganlar ekran içeriklerini izleyebiliyor. Sıhhat, finans ve eğitim üzere kesimlerdeki kurumlar da bu ataklardan etkiliyor.
Kampanya 11 Haziran’da gönderilen 95 e-posta ile başladı ve o vakitten bu yana giderek artarak devam ediyor. Saldırganlar, alıcının alan isminin büyük bir markayla bağlı patentli kombinasyonları ihlal ettiğini argüman ederek dava tehdidinde bulunmakla kalmıyor, birebir vakitte uydurma hukuk ofisi ismine patent sahibinin alan ismini satın almakla ilgilendiğini de belirtiyor. E-postada, kelamda ihlallere ait ayrıntıların “belgeleri” içeren ekli arşiv evrakı aracılığıyla incelenebileceği belirtiliyor. Dikkat cazip bir nokta ise saldırganların muhtemelen tespitten kaçınmak için direkt parola muhafazalı bir evrak göndermek yerine, parola müdafaasız bir arşiv içerisine bir parola muhafazalı arşiv ve bu arşivin şifresini içeren farklı bir evrak yerleştirmeleri.
Kötü maksatlı e-postaya bir örnek
Kullanıcı arşiv şifresini girdikten ve içindeki kelamda yasal dokümana tıkladıktan sonra, aygıta bir Truva atı yüklendi. Kullanıcının karşısına “Bu evrak bu aygıtta açılamıyor. Öteki bir Windows aygıtında açmayı deneyin.” halinde bir ileti çıktı. Tıpkı anda art planda gizlice Tor Tarayıcısı indirildi ve yüklendi. Bu tarayıcı aracılığıyla berbat hedefli yazılım, kullanıcının ekran imgelerini tertipli olarak Tor ağı üzerinden saldırganlara iletti. Ayrıyeten bu berbat maksatlı yazılım, bilgisayar her tekrar başlatıldığında otomatik olarak çalışmaya devam ediyor.
Kaspersky spam analisti Anna Lazaricheva “Kampanya, ruhsal manipülasyon ile teknik aldatmacayı ustalıkla bir biçimde birleştiriyor. Saldırganlar, yasal süreç korkusunu kullanarak işletmeleri, ekli arşivlerde gizlenmiş ziyanlı evrakları çalıştırmaya zorluyor. 11 Haziran’dan bu yana süratle büyümesi, kurumların savunmalarını güçlendirmesinin ne kadar acil olduğunu gösteriyor. Mağdurlar, kapalı bilgilerini kaybetme riskiyle karşı karşıya. Bu gelişen tehdide karşı koyabilmek için güçlü e-posta güvenliği, çalışan eğitimi ve süratli olay bildirimi hayati kıymet taşıyor,” diyor
Kaspersky, kurumsal ve kişisel kullanıcılara şunları öneriyor:
- E-posta eklerini açmadan evvel dikkatli olun. Kuşkulu görünen hiçbir arşiv evrakını (şifre muhafazalı olanlar dahil) açmayın. Yürütülebilir belgeleri çalıştırmayın; bu tıp belgeler makûs gayeli yazılım içerebilir.
- Gönderenin kimliğini doğrulamaya çalışın; istenmeyen e-postalarda belirtilen yasal savların yahut kurumların geçerliliğini teyit edin.
- Saldırı teşebbüslerini tespit edip engelleyebilecek uç nokta müdafaa çözümleri uygulayın.
- Personelin akın taktiklerini tanıyabilmesi için eğitim verin.
- Şüpheli oltalama (phishing) e-postalarına eklenmiş belgelerin açılması durumunda, derhal bilgi teknolojileri yahut siber güvenlik takımlarına haber verin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
