Fidye yazılım çeteleri kurbanlarını tuzağa çekmek için bu kez abonelik iptalini gerekçe göstererek sahte çağrı merkezine yönlendiriyor.
“Ücretsiz deneme aboneliğiniz sona erdiği! Aboneliğinizin otomatik olarak devam etmesini istemiyorsanız şu numarayı arayın” gibi kimlik avı e-postalarına dikkat etmekte fayda var.
Söz konusu yöntem siber saldırganların bilgisayarınıza sızmak için geliştirdiği yeni bir taktik olabilir. Nitekim Microsoft bunu bir saldırı aracı olarak kullanan bir grubun peşinde.
Microsoft’un siber güvenlik araştırmacıları bilgisayarlara BazarLoader adlı zararlı yazılım yükleyicisi bulaştırmak için sahte “çağrı merkezlerini” kullanan suç grubu BazarCall’ın peşinde. BazarLoader fidye yazılımı dağıtmak için kullanılan bir zararlı yazılım yükleyicisi.
BazarCall (veya Bazacall) olarak adlandırılan grubun üyeleri Ocak ayından bu yana aktif ve kurbanları Bazarloader’ı bir Windows PC’ye yüklemeye yönlendirmek için çağrı merkezi operatörlerini kullanıyorlar.
Palo Alto Networks’ten Brad Duncan grubun tekniklerini bir blog yazısında anlattı. Duncan’ın anlattıklarına göre, kötü amaçlı yazılım virüslü bir Windows cihazına arka kapı erişimi sağlıyor. Duncan yazısında şöyle devam ediyor: “Bir kullanıcı virüsle enfekte olduktan sonra, suçlular takip eden kötü amaçlı yazılımlar göndermek, çevreyi taramak ve ağdaki diğer savunmasız ana bilgisayarlardan yararlanmak için bu arka kapı erişimini kullanıyorlar.”
Ukrayna’da fidye yazılım operasyonu: Clop’la bağlantılı kişiler tutuklandı
Saldırı genellikle şu şekilde başlıyor: Kurbana deneme aboneliğinin sona erdiğini ve aboneliği iptal etmek için bir numarayı araması gerektiği, aramaması durumunda otomatik olarak kendisinden aylık belli bir ücret alınacağını bildiren kimlik avı e-postaları gönderiliyor.
SÖZDE ABONELİK İPTALİ VAADİ İLE TUZAĞA ÇEKİYORLAR
Microsoft, öncelikle grubun Office 365 kullanıcılarını hedef alan Kimlik Avı e-postalarına odaklandı. Ve insan kaynaklı saldırılara ve fidye yazılımı dağıtımına yol açan aktif bir BazaCall kötü amaçlı yazılım saldırısını takibe aldı. BazaCall saldırıları, alıcıları belirli bir hizmet için yapılmış sözde aboneliklerini iptal etmek için bir telefon numarasına yönlendiren e-postaları kullanıyor.
Alıcılar numarayı aradığında, saldırganlar tarafından işletilen sahte bir çağrı merkezi, onlardan bir web sitesini ziyaret etmelerini ve hizmeti iptal etmek için bir Excel dosyası indirmelerini istiyor. Excel dosyası, yükü indiren kötü amaçlı bir makro içeriyor.
Microsoft’un güvenlik ekibi, Active Directory (AD) veritabanı da dahil olmak üzere kimlik bilgilerini çalmak için Cobalt Strike penetrasyon test kiti’ni kullanan grubu da gözlemledi. AD hırsızlığı, bir kuruluşun kimliğini ve kimlik bilgilerini içermesi itibariyle şirketin tekrar sahip olmak için binlerce doları gözden çıkarabileceği bir olay.
