Bu içeriği değerlendirin.
Okuma Süresi
3 dakika

Gizli teknikler ve büyüyen kötü amaçlı Excel yazılımı saldırıları, kullanıcıları fidye yazılımı çetelerinin hedefine koyuyor

HP, algılama araçlarından kaçan ve kullanıcı uç noktalarına ulaştırılan tehditleri yalıtarak, siber suçlular tarafından kullanılan en son tekniklerin analizini içeren HP Wolf Security Threat Insights Raporu’nu yayımladı.

HP Wolf Security tehdit araştırma ekibi, kötü amaçlı yazılımları yaymak için Excel eklenti dosyalarını ele geçirerek, saldırganların hedeflere erişmesine yardımcı olan ve hem kurumları hem de bireyleri veri hırsızlığı ve yıkıcı fidye yazılımı saldırılarına maruz bırakan bir saldırı dalgası tespit etti.  Sistemlere virüs bulaştırmak için kötü amaçlı Microsoft Excel eklentisi (.xll) dosyalarını kullanan saldırılarda geçen çeyreğe kıyasla altı kat büyük bir artış (yüzde 588) yaşandı. Sadece bir tıklama gerektiren bu kötü amaçlı yazılımın özellikle tehlikeli olduğu tespit edilmiş bulunuyor.  Ekip ayrıca yeraltı pazarlarında .xll dropper ve kötü amaçlı yazılım oluşturucu kitleri tanıtan reklamlar buldu. Tüm bunlar deneyimsiz saldırganların saldırı başlatmasını kolaylaştıran etkenler olarak öne çıkıyor.

Excel dosyaları kullanıldı

Ayrıca, yeni bir QakBot spam saldırısı, güvenliği ihlal edilmiş e-posta hesaplarındaki e-posta zincirlerini ele geçirip postalara ekli bir kötü amaçlı Excel (.xlsb) dosyasıyla cevap yollayarak hedefleri kandırmak için Excel dosyalarını kullandı.  QakBot, sistemlere girdikten sonra, algılanmamak için kendisini meşru Windows işlemlerine enjekte ediyor.  Kötü amaçlı Excel (.xls) dosyaları, Ursnif bankacılık Truva’sını kötü amaçlı bir spam saldırısıyla İtalyanca konuşan kurumlara ve kamu sektörü kuruluşlarına yaymak için   de kullanıldı ve saldırganlar İtalyan kurye hizmeti BRT gibi davrandı.  Emotet kötü amaçlı yazılımlarını yayan yeni saldırılar artık JavaScript veya Word dosyaları yerine Excel’i de kullanıyor.

HP Wolf Security tehdit tespit ekibi tarafından yalıtılmış diğer önemli tehditler ise şunlar:

  • TA505 geri mi döndü? HP, büyük kötü amaçlı yazılım spam saldırıları ve fidye yazılımlarını kullanarak virüslü sistemlere erişimden para kazanmasıyla bilinen finansal amaçlı bir tehdit grubu olan TA505 ile birçok taktik, teknik ve prosedür (TTP) paylaşan bir MirrorBlast e-posta kimlik avı saldırısı belirledi. Saldırı, FlawedGrace Uzaktan Erişim Truva Atı (RAT) ile kurumları hedef alıyor.
  • RedLine ile kurbanlara bulaşan sahte oyun platformu: Ziyaretçileri RedLine infostealer’ı indirmeleri ve kimlik bilgilerini çalmaları için kandıran sahte bir Discord yükleyici web sitesi keşfedildi.
  • Nadir dosya tiplerini değiştirmek hala algılamanın önüne geçiyor: Aggah tehdit grubu, satın alma emirleri olarak gizlenmiş kötü amaçlı PowerPoint eklenti (.ppa) dosyalarıyla Korece konuşan kurumları hedef aldı ve sistemlere uzaktan erişimli Truva atları bulaştırdı. Kötü amaçlı PowerPoint yazılımları olağandışı ve kötü amaçlı yazılımların yüzde 1’ini oluşturuyor.

HP Wolf Security verileri nasıl ediyor?

Bu bulgular, HP Wolf Security kullanan milyonlarca uç noktadan elde edilen verilere dayanıyor. HP Wolf Security, tüm enfeksiyon zincirini anlamak ve yakalamak için yalıtılmış mikro Sanal Makinelerde (mikro VM’ ler) riskli görevler açarak kötü amaçlı yazılımları izliyor ve diğer güvenlik araçlarını geçen tehditleri azaltmaya yardımcı oluyor.  Bu önlem, müşterilerin bildirilen bir ihlal olmadan 10 milyar e-posta eki açmasına, internet sayfalarına ve indirmelere tıklamasına izin vermiş bulunuyor.  HP Wolf Security araştırmacıları ve mühendisleri, kötü amaçlı yazılımların davranışlarını daha iyi anlayarak uç nokta güvenlik korumasını ve genel sistem dayanıklılığını destekleyebiliyor.

Rapordaki diğer temel bulgular

  • Yalıtılmış e-posta kötü amaçlı yazılımlarının yüzde 13’ü en az bir e-posta ağ geçidi tarayıcısını atlamış.
  • Tehditler, kurumlara virüs bulaştırma girişimlerinde 136 farklı dosya uzantısı kullanmış.
  • Tespit edilen kötü amaçlı yazılımların yüzde 77’si e-posta yoluyla sisteme girerken, indirmeleri yüzde 13’ünden sorumlu olmuş.
  • Kötü amaçlı yazılım sokmak için kullanılan en yaygın ekler belgeler (yüzde 29), arşivler (yüzde 28), yürütülebilir dosyalar (yüzde 21), elektronik tablolar (yüzde 20) olmuş.
  • En yaygın kimlik avı yemleri Yeni Yıl veya “Sipariş”, “2021/2022”, “Ödeme”, “Satın Alma”, “Talep” ve “Fatura” gibi ticari işlemlerle ilgili.

 

Tekno Safari YouTube kanalına abone olmayı unutmayın!

 

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz