Önemli Bilgiler
- Parola çalan kötü amaçlı yazılımların arkasındaki saldırganlar, insanların kötü amaçlı e-postaları açmasını sağlamak için yenilikçi yöntemler kullanıyor.
- Saldırganlar, kötü amaçlı yazılım yüklü ekleri devam eden e-posta konuşmalarına eklemek için bir kişinin saldırıya uğramış gelen kutusunu kullanır.
-
Güvenlik araştırmacıları, saldırının, bilinen kişilerden bile olsa, insanların ekleri körü körüne açmaması gerektiğinin altını çizdiğini öne sürüyor.
Arkadaşınızın bir e-posta sohbetine, yarı beklediğiniz bir ek ile atlaması garip gelebilir, ancak mesajın meşruluğundan şüphe etmek sizi tehlikeli kötü amaçlı yazılımlardan kurtarabilir.
Zscaler'deki güvenlik dedektifleri, Qakbot adlı güçlü bir parola çalan kötü amaçlı yazılımı yaymak için algılamayı atlatmak amacıyla yeni yöntemler kullanan tehdit aktörleri hakkında ayrıntıları paylaştı. Siber güvenlik araştırmacıları saldırı karşısında alarma geçti ancak saldırganların tekniklerini geliştirmelerine şaşırmıyorlar.
Egress Tehdit İstihbaratı Başkan Yardımcısı Jack Chapman, Lifewire'a e-posta yoluyla "Siber suçlular, tespit edilmekten kaçınmak ve nihayetinde amaçlarına ulaşmak için saldırılarını sürekli olarak güncelliyorlar," dedi. "Yani, bir sonraki denemenin ne olacağını tam olarak bilmesek bile, her zaman bir dahaki sefer olacağını ve saldırıların sürekli geliştiğini biliyoruz."
Dost Komşuluk Hacker
Gönderisinde Zscaler, kurbanların e-postalarını açmasını sağlamak için saldırganların kullandığı çeşitli kafa karıştırma tekniklerini inceliyor.
Bu, kurbanları kötü amaçlı ekleri indirmeleri için kandırmak için. ZIP gibi yaygın biçimlere sahip cazip dosya adlarını kullanmayı içerir.
Kötü amaçlı yazılımların uzun yıllardır popüler bir taktik olduğunu belirten Chapman, PDF'ler ve her Microsoft Office belge türü de dahil olmak üzere çok sayıda farklı dosya türünde gizlenmiş saldırılar gördüklerini söyledi.
"Sofistike siber saldırılar, hedeflerine ulaşmak için mümkün olan en iyi şansa sahip olacak şekilde tasarlanmıştır," dedi Chapman.
İlginç bir şekilde Zscaler, kötü amaçlı eklerin etkin e-posta ileti dizilerine yanıt olarak eklendiğini belirtiyor. Chapman, bu saldırılarda kullanılan karmaşık sosyal mühendislik karşısında yine şaşırmıyor. Chapman, "Saldırı hedefe ulaştığında, siber suçlunun harekete geçmesi gerekiyor - bu durumda, e-posta ekini açmak için" dedi.
Yalnızca Haziran ayında bir düzine Qakbot kampanya olayını tespit edip engelleyen eSentire Araştırma ve Raporlama Lideri Keegan Keplinger, saldırının öne çıkan özelliği olarak ele geçirilmiş e-posta gelen kutularının kullanımına da işaret etti.
Keplinger, Lifewire'a e-posta yoluyla verdiği demeçte, "Qakbot'un yaklaşımı insan-güven kontrollerini atlıyor ve kullanıcıların güvenilir bir kaynaktan geldiğini düşünerek yükü indirme ve yürütme olasılığı daha yüksek" dedi.
Vade Secure Baş Teknoloji ve Ürün Sorumlusu Adrien Gendre, bu tekniğin 2021'deki Emotet saldırılarında da kullanıldığına dikkat çekti.
Gendre Lifewire'a verdiği demeçte, "Kullanıcılar genellikle sahte e-posta adreslerini aramak için eğitilir, ancak böyle bir durumda, gönderenin adresini incelemek, güvenliği ihlal edilmiş olsa da meşru bir adres olduğundan yardımcı olmaz," dedi. e-posta tartışması.
Merak Kediyi Öldürdü
Chapman, ilgili kişiler arasında önceden var olan ilişki ve güvenden yararlanmanın yanı sıra, saldırganların ortak dosya türlerini ve uzantılarını kullanmalarının, alıcıların daha az şüpheli olmasını ve bu ekleri açma olasılığının daha yüksek olmasını sağladığını söylüyor.
Paul Baird, Qualys İngiltere Baş Teknik Güvenlik Sorumlusu, teknolojinin bu tür saldırıları engellemesine rağmen bazılarının her zaman sızacağını belirtiyor. İnsanları anlayacakları bir dilde mevcut tehditlerden haberdar etmenin yayılmayı engellemenin tek yolu olduğunu öne sürüyor.
"Kullanıcılar, güvenilen bir e-posta adresinin bile ele geçirildiğinde kötü niyetli olabileceğine karşı dikkatli olmalı ve eğitilmeli," diye onayladı Gendre. "Bu, özellikle bir e-posta bir bağlantı veya ek içerdiğinde geçerlidir."
Gendre, gönderenlerin iddia ettikleri kişiler olduğundan emin olmak için insanların e-postalarını dikkatlice okumasını önerir. Güvenliği ihlal edilmiş hesaplardan gönderilen e-postaların genellikle kısa olduğuna ve çok açık olmayan istekler içerdiğine dikkat çekiyor, bu da e-postayı şüpheli olarak işaretlemek için iyi bir neden.
Buna ek olarak Baird, Qakbot tarafından gönderilen e-postaların normalde kişilerinizle yaptığınız konuşmalara kıyasla farklı şekilde yazılacağına dikkat çekiyor ve bu da başka bir uyarı işareti olarak hizmet etmelidir. Baird, şüpheli bir e-postadaki herhangi bir ekle etkileşime geçmeden önce, mesajın gerçekliğini doğrulamak için kişiyle ayrı bir kanal kullanarak bağlantı kurmanızı önerir.
"Beklemediğiniz dosyalarla [ile] herhangi bir e-posta alırsanız, onlara bakmayın," Baird'in basit tavsiyesi. "'Merak kediyi öldürdü' ifadesi, e-posta yoluyla aldığınız her şey için geçerlidir."