Fidye yazılımı phishing e-postaları SEG’lerden gizlice geçiyor. MICROP fidye yazılımı, Google Drive ve yerel olarak depolanmış şifreler üstünden yayılabilen bir virüs çeşididir.
Siber dolandırıcılar (cybercrooks) özellikle kötü niyetli sayfaları, yasal cloud hizmetlerini kullanarak oluşturuyorsa, ne yazık ki güvenli e-posta ağ geçidi (SEG), phishing e-postalarının çalışanlara fidye yazılımı göndermesini durdurmak için yeterince koruyucu ve yeterli olmaz.
Araştırmacılara göre her ne kadar sistemler SEG tarafından güvence altına alınmış olsa bile, bazı kullanıcıların gelen kutularına Cadılar Bayramı temalı bir MICROP fidye yazılımı saldırısını başlatacak phishing e-postasının yayıldığına dair alarm verildi.
Virüs Rutini
Yollanan orijinal e-postada, “Gerekli Malzemeler listesini takip eden DWG” için desteğe ihtiyaç olduğuna dair Google Drive URL’sine köprü bağlantılı olduğu düşünülecek bir mail yollandı. E-posta içerisine ek olan bu URL aslında .MHT dosyası indiren bir virüs bağlantısı.
Web tarayıcılarında genellikle web sayfası arşivi olarak .MHT dosya uzantıları kullanılır. Dosya uzantıları açıldıktan sonra hedef makineye bulanık ve damgalanmış görüntülü bir form eklentisi sunuluyor ancak buradaki olay aslında tehdit aktörü malware yüküne ulaşmak için .MHT dosyasını aracı olarak kullanmış oluyor.
Aynı zamanda bu yük (payload), indirilmiş bir .RAR dosyası biçiminde gelir. Bu .RAR dosyasının içinde de ayrıca bir .EXE dosyası bulunur.
Yapılan analize göre, “Çalıştırılabilir dosya, MICROP fidye yazılımını bellekte tutmak ve çalıştırmak için VBS komut dosyalarını kullanan bir DotNETLoader’dır”.
Yapılan bu virüs kampanyası dünyanın en karmaşık şeyi olmamasına rağmen Google Drive’ın kullanılması yüzünden SEG’lerden geçebildi.
Araştırmacılar, “Açılış tuzağı olarak iş temalı, işletmelerin dosyaları teslim etmek için kullandığı Google Drive gibi bir hizmetten yararlanıyor. MHT yükünden son şifrelemeye kadar hızlı bir şekilde dağıtımı yapılması aslında bu grubun gizli olmaya çalışmadığını gösteriyor. Söz konusu olan fidye yazılımının dağılımı çok basit olduğundan dolayı, bu e-postanın SEG kullanan bir yerde gelen kutusuna girmesi özellikle endişe yaratıyor.” dedi.
Bir kullanıcı, Cadılar bayramı temalı MICROP postasını aldıktan sonra, e-postayı şüpheli olarak bildirmesiyle birlikte bu yeni tehditin keşfedilmesi sağlandı.
Skype’ın Olağandışı Kullanımı ”Kanlı Tema”
Crypt888 fidye yazılımı olarak da bilinen MICROP fidye yazılımı, kullanıcıların dosyalarını rehin alabilmek için şifreleme yapıyor. İstenilen ödeme alındıktan sonra, saldırgan şifre çözeceğini söylüyor. Bu saldırıda tehditçi saldırgan wallpapera bir dizi talimat veriyor.
Kullanıcı kişi, saldırganla iletişim kurabilmek için kullanılan e-posta adreslerine erişim sağlayabilecek ne birkaç web tarayıcısını açabilir ne de herhangi bir uygulamayı açabilir. E-posta adresi daha sonra tekrardan, tehditçi saldırganın dosyaların ve uygulamaların kilidini açacağını iddia ettiği şifre çözme aracına erişebilmeleri için öncelikle gereken ödemeyi ayarlama işlemleri için kullanılır.”
Normalde çoğu organize ransomware çetelerinin kendileribe ait özel siteleri ya da özel chat grupları olduğu için, Skype’ın pazarlık yapılacak bir uygulama aracı olarak kullanılması oldukça nadirdir.
Yerel Olarak Depolanan Parolaları İzleyin
Bu saldırıdaki Halloween kampanyasının bir diğer ilginç yönü, “PI2.exe” adlı kötü amaçlı kullanılan dosyadır. Çünkü bu dosya; Explorer, Google Chrome, Firefox ve Opera da dahil web tarayıcılarından şifreleri çalarak tehditçi saldırganlara ağ çevresinde hem yan erişim hem de gelecekteki saldırılar için bir giriş noktası oluşturur.
Virus Total’de SHA256 çalıştırılabilir dosyasının, geçmişteki hareketlerine de bakıldığında, bu yıl yayınlanmış olan düzinelerce kötü niyetli çalıştırılabilir dosyayla bağlantılı olabileceği düşünülüyor.
Miclain Keffeler’E göre, bu ”araç” ofis dışında çalışmaya başlayan işletmelerin, özellikle bu tür saldırılara daha fazla maruz bıraktığını gösterdi. Ve bu olaydan da anlaşılacağı gibi sistemlerinizde yerel parola yönetiminin yanında özellikle cloud izinlerini de yönetmek gerektiğinin zorunluluk haline geldiğini kanıtlamış oldu.
Keffeler, “Crypt888, kullanıcıların yerel olarak kaydettiği şifreleri çalarak, bir işletmeye kaçınılmaz zarar verebilecek şekillerde de kullanılmak üzere, yatay ayrıcalık yükseltme istiyor. Cloud büyüdükçe, kaydedilen parolalar, genelde ya çok az güvenlik denetimiyle ya da hiç güvenlik denetimi olmadan büyük miktarlarda erişim sağlayabildikleri için önemli bir saldırı kaynağı haline geliyor.” dedi.
Kendi sistem ve cihazlarınızı koruyabilmek adına sadece parola yönetimlerini değil aynı zamanda cloud sistemlerinizin de yönetimini bizzat siz yapmalısınız.
Parola yönetimi ve cloud yönetimine dair blogumuzda bulunan diğer yazılarımıza göz atabilirsiniz.