Kullanıcıları kandırma konusunda giderek daha da ustalaşan siber suçluları, yeni taktikler geliştirerek farklı alanlara sıçramaya başladı.
HP algılama araçlarından kaçan ve kullanıcı uç noktalarına ulaştırılan tehditleri yalıtarak, siber suçlular tarafından kullanılan en son tekniklerin analizini içeren HP Wolf Security Threat Insights Raporunu yayınladı.
Siber tehdit aktörlerinin gizli teknikleri ve büyüyen kötü amaçlı Excel yazılımı saldırıları, kullanıcıları fidye yazılımı çetelerinin hedefine koyuyor.
Rapora gören sistemlere virüs bulaştırmak için kötü amaçlı Microsoft Excel eklentisi (.xll) dosyalarını kullanan saldırılarda geçen çeyreğe kıyasla altı kat büyük bir artış (+%588) yaşandı.
Sadece bir tıklama gerektiren bu kötü amaçlı yazılımın özellikle tehlikeli olduğu tespit edilmiş bulunuyor. Ekip ayrıca yeraltı pazarlarında .xll dropper ve kötü amaçlı yazılım oluşturucu kitleri tanıtan reklamlar buldu.
Tüm bunlar deneyimsiz saldırganların saldırı başlatmasını kolaylaştıran etkenler olarak öne çıkıyor. Ayrıca, yeni bir QakBot spam saldırısı, güvenliği ihlal edilmiş e-posta hesaplarındaki e-posta zincirlerini ele geçirip postalara ekli bir kötü amaçlı Excel (.xlsb) dosyasıyla cevap yollayarak hedefleri kandırmak için Excel dosyalarını kullandı.
YENİ SALDIRILARDA EXCEL UZANTILI DOSYALAR KULLANILIYOR
QakBot, sistemlere girdikten sonra, algılanmamak için kendisini meşru Windows işlemlerine enjekte ediyor. Kötü amaçlı Excel (.xls) dosyaları, Ursnif bankacılık Truva’sını kötü amaçlı bir spam saldırısıyla İtalyanca konuşan kurumlara ve kamu sektörü kuruluşlarına yaymak için de kullanıldı ve saldırganlar İtalyan kurye hizmeti BRT gibi davrandı.
Emotet kötü amaçlı yazılımlarını yayan yeni saldırılar artık JavaScript veya Word dosyaları yerine Excel’i de kullanıyor.
Tespit edilen bazı önemli tehditler ise şunlar:
• TA505 geri mi döndü?
HP, büyük kötü amaçlı yazılım spam saldırıları ve fidye yazılımlarını kullanarak virüslü sistemlere erişimden para kazanmasıyla bilinen finansal amaçlı bir tehdit grubu olan TA505 ile birçok taktik, teknik ve prosedür (TTP) paylaşan bir MirrorBlast e-posta kimlik avı saldırısı belirledi. Saldırı, FlawedGrace Uzaktan Erişim Truva Atı (RAT) ile kurumları hedef alıyor.
• RedLine ile kurbanlara bulaşan sahte oyun platformu:
Ziyaretçileri RedLine infostealer’ı indirmeleri ve kimlik bilgilerini çalmaları için kandıran sahte bir Discord yükleyici web sitesi keşfedildi.
• Nadir dosya tiplerini değiştirmek hala algılamanın önüne geçiyor: Aggah tehdit grubu, satın alma emirleri olarak gizlenmiş kötü amaçlı PowerPoint eklenti (.ppa) dosyalarıyla Korece konuşan kurumları hedef aldı ve sistemlere uzaktan erişimli Truva atları bulaştırdı. Kötü amaçlı PowerPoint yazılımları olağandışı ve kötü amaçlı yazılımların %1’ini oluşturuyor.
Rapordaki diğer temel bulguları şunlar:
• Yalıtılmış e-posta kötü amaçlı yazılımlarının %13’ü en az bir e-posta ağ geçidi tarayıcısını atlamış.
• Tehditler, kurumlara virüs bulaştırma girişimlerinde 136 farklı dosya uzantısı kullanmış.
• Tespit edilen kötü amaçlı yazılımların %77’si e-posta yoluyla sisteme girerken, web indirmeleri %13’ünden sorumlu olmuş.
• Kötü amaçlı yazılım sokmak için kullanılan en yaygın ekler belgeler (%29), arşivler (%28), yürütülebilir dosyalar (%21), elektronik tablolar (%20) olmuş.
• En yaygın kimlik avı yemleri Yeni Yıl veya “Sipariş”, “2021/2022”, “Ödeme”, “Satın Alma”, “Talep” ve “Fatura” gibi ticari işlemlerle ilgili.