OzzTech - Fidye Yazılımı Phishing E-postaları SEG’lerden Gizlice Geçiyor

Fidye Yazılımı Phishing E-postaları SEG’lerden Gizlice Geçiyor

Fidye Yazılımı

Fidye yazılımı phishing e-postaları SEG'lerden gizlice geçiyor. MICROP fidye yazılımı, Google Drive ve yerel olarak depolanmış şifreler üstünden yayılabilen bir virüs çeşididir.

Siber dolandırıcılar (cybercrooks) özellikle kötü niyetli sayfaları, yasal cloud hizmetlerini kullanarak oluşturuyorsa, ne yazık ki güvenli e-posta ağ geçidi (SEG), phishing e-postalarının çalışanlara fidye yazılımı göndermesini durdurmak için yeterince koruyucu ve yeterli olmaz.

Araştırmacılara göre her ne kadar sistemler SEG tarafından güvence altına alınmış olsa bile, bazı kullanıcıların gelen kutularına Cadılar Bayramı temalı bir MICROP fidye yazılımı saldırısını başlatacak phishing e-postasının yayıldığına dair alarm verildi.

Virüs Rutini

Yollanan orijinal e-postada, "Gerekli Malzemeler listesini takip eden DWG" için desteğe ihtiyaç olduğuna dair Google Drive URL'sine köprü bağlantılı olduğu düşünülecek bir mail yollandı. E-posta içerisine ek olan bu URL aslında .MHT dosyası indiren bir virüs bağlantısı.

Web tarayıcılarında genellikle web sayfası arşivi olarak .MHT dosya uzantıları kullanılır. Dosya uzantıları açıldıktan sonra hedef makineye bulanık ve damgalanmış görüntülü bir form eklentisi sunuluyor ancak buradaki olay aslında tehdit aktörü malware yüküne ulaşmak için .MHT dosyasını aracı olarak kullanmış oluyor.

Aynı zamanda bu yük (payload), indirilmiş bir .RAR dosyası biçiminde gelir. Bu .RAR dosyasının içinde de ayrıca bir .EXE dosyası bulunur.

Yapılan analize göre, "Çalıştırılabilir dosya, MICROP fidye yazılımını bellekte tutmak ve çalıştırmak için VBS komut dosyalarını kullanan bir DotNETLoader'dır".

Yapılan bu virüs kampanyası dünyanın en karmaşık şeyi olmamasına rağmen Google Drive'ın kullanılması yüzünden SEG'lerden geçebildi.

Araştırmacılar, "Açılış tuzağı olarak iş temalı, işletmelerin dosyaları teslim etmek için kullandığı Google Drive gibi bir hizmetten yararlanıyor. MHT yükünden son şifrelemeye kadar hızlı bir şekilde dağıtımı yapılması aslında bu grubun gizli olmaya çalışmadığını gösteriyor. Söz konusu olan fidye yazılımının dağılımı çok basit olduğundan dolayı, bu e-postanın SEG kullanan bir yerde gelen kutusuna girmesi özellikle endişe yaratıyor.'' dedi.

Bir kullanıcı, Cadılar bayramı temalı MICROP postasını aldıktan sonra, e-postayı şüpheli olarak bildirmesiyle birlikte bu yeni tehditin keşfedilmesi sağlandı.

Skype'ın Olağandışı Kullanımı ''Kanlı Tema''

Crypt888 fidye yazılımı olarak da bilinen MICROP fidye yazılımı, kullanıcıların dosyalarını rehin alabilmek için şifreleme yapıyor. İstenilen ödeme alındıktan sonra, saldırgan şifre çözeceğini söylüyor. Bu saldırıda tehditçi saldırgan wallpapera bir dizi talimat veriyor.

Kullanıcı kişi, saldırganla iletişim kurabilmek için kullanılan e-posta adreslerine erişim sağlayabilecek ne birkaç web tarayıcısını açabilir ne de herhangi bir uygulamayı açabilir. E-posta adresi daha sonra tekrardan, tehditçi saldırganın dosyaların ve uygulamaların kilidini açacağını iddia ettiği şifre çözme aracına erişebilmeleri için öncelikle gereken ödemeyi ayarlama işlemleri için kullanılır.”

Normalde çoğu organize ransomware çetelerinin kendileribe ait özel siteleri ya da özel chat grupları olduğu için, Skype'ın pazarlık yapılacak bir uygulama aracı olarak kullanılması oldukça nadirdir.

Yerel Olarak Depolanan Parolaları İzleyin

Bu saldırıdaki Halloween kampanyasının bir diğer ilginç yönü, “PI2.exe” adlı kötü amaçlı kullanılan dosyadır. Çünkü bu dosya; Explorer, Google Chrome, Firefox ve Opera da dahil web tarayıcılarından şifreleri çalarak tehditçi saldırganlara ağ çevresinde hem yan erişim hem de gelecekteki saldırılar için bir giriş noktası oluşturur.

Virus Total'de SHA256 çalıştırılabilir dosyasının, geçmişteki hareketlerine de bakıldığında, bu yıl yayınlanmış olan düzinelerce kötü niyetli çalıştırılabilir dosyayla bağlantılı olabileceği düşünülüyor.

Miclain Keffeler'E göre, bu ''araç'' ofis dışında çalışmaya başlayan işletmelerin, özellikle bu tür saldırılara daha fazla maruz bıraktığını gösterdi. Ve bu olaydan da anlaşılacağı gibi sistemlerinizde yerel parola yönetiminin yanında özellikle cloud izinlerini de yönetmek gerektiğinin zorunluluk haline geldiğini kanıtlamış oldu.

Keffeler, "Crypt888, kullanıcıların yerel olarak kaydettiği şifreleri çalarak, bir işletmeye kaçınılmaz zarar verebilecek şekillerde de kullanılmak üzere, yatay ayrıcalık yükseltme istiyor. Cloud büyüdükçe, kaydedilen parolalar, genelde ya çok az güvenlik denetimiyle ya da hiç güvenlik denetimi olmadan büyük miktarlarda erişim sağlayabildikleri için önemli bir saldırı kaynağı haline geliyor.'' dedi.

Kendi sistem ve cihazlarınızı koruyabilmek adına sadece parola yönetimlerini değil aynı zamanda cloud sistemlerinizin de yönetimini bizzat siz yapmalısınız.

Parola yönetimi ve cloud yönetimine dair blogumuzda bulunan diğer yazılarımıza göz atabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.