Draqon
Aktif Üye
Proofpoint'teki güvenlik araştırmacıları, siber suçluların kurbanları kötü amaçlı PowerShell kodunu çalıştırmaları ve kötü amaçlı yazılım yüklemeleri için kandırmak amacıyla sosyal mühendisliğe başvurduğu, giderek daha popüler hale gelen bir saldırı tekniğini tespit etti.
Reklamcılık
Yöntem ilk olarak Mart 2024'ün başlarında kurumsal ağlara erişim satan İlk Erişim Aracısı “TA571” tarafından kullanıldı. Proofpoint'in haberine göre o zamandan beri ClearFake'te de gözlemlendi. ClearFake, ele geçirilmiş web sitelerinde, arabadan indirme teknolojisini kullanarak daha fazla kötü amaçlı yazılım yaymak için kullanılan kötü amaçlı bir JavaScript çerçevesidir. Kurbanlar, işletim sistemi gibi güvenilir bir kaynaktan geliyormuş gibi görünen bir hata mesajı alırlar. Bir sorunu öne sürüyor ve aynı zamanda kurbanın yalnızca kopyalayıp yürütmesi gereken bir PowerShell komutu biçiminde bir çözüm sunuyor.
Sahte istekler
Bir PowerShell betiğini kopyalayıp terminalde çalıştırmanızı isteyen sahte uyarı.
(Resim: Kanıt Noktası)
Bu hata mesajlarından ilki, Chrome web tarayıcısı iletişim kutusu olarak gizlenmişti. Kurbanın bir PowerShell betiğini kopyalamak için bir düğmeye tıklaması yönünde talimatlar içeriyordu. Ayrıca sorunu düzeltmek için betiğin yönetici olarak manuel olarak nasıl çalıştırılacağına ilişkin talimatlar da içeriyordu. Talimatlar takip edilirse kullanıcının PowerShell betiğini PowerShell komut satırı penceresine yapıştırması yeterlidir ve başka bir işlem yapılmasına gerek kalmaz.
Kurban talimatları takip ederse, kötü amaçlı yazılım yükleyicileri Darkgate, Matanbuchus, yine suçlular tarafından kötüye kullanılan uzaktan bakım aracı NetSupport veya Infostealer gibi çeşitli kötü amaçlı programlar yüklenebilir. Proofpoint, bu tür tehditlerin tespit edilmesi zor olduğundan tehlikeyi ciddi olarak sınıflandırır. Ayrıca antivirüs yazılımları ve “Uç Nokta Tespit ve Yanıt” programlarında pano içeriklerini kontrol etmede sorunlar yaşanmaktadır. Şirketlerde şüpheli faaliyetler fark edilirse derhal bilgi işlem güvenliğine bildirilmelidir.
(mack)
Haberin Sonu
Reklamcılık
Yöntem ilk olarak Mart 2024'ün başlarında kurumsal ağlara erişim satan İlk Erişim Aracısı “TA571” tarafından kullanıldı. Proofpoint'in haberine göre o zamandan beri ClearFake'te de gözlemlendi. ClearFake, ele geçirilmiş web sitelerinde, arabadan indirme teknolojisini kullanarak daha fazla kötü amaçlı yazılım yaymak için kullanılan kötü amaçlı bir JavaScript çerçevesidir. Kurbanlar, işletim sistemi gibi güvenilir bir kaynaktan geliyormuş gibi görünen bir hata mesajı alırlar. Bir sorunu öne sürüyor ve aynı zamanda kurbanın yalnızca kopyalayıp yürütmesi gereken bir PowerShell komutu biçiminde bir çözüm sunuyor.
Sahte istekler
Bir PowerShell betiğini kopyalayıp terminalde çalıştırmanızı isteyen sahte uyarı.
(Resim: Kanıt Noktası)
Bu hata mesajlarından ilki, Chrome web tarayıcısı iletişim kutusu olarak gizlenmişti. Kurbanın bir PowerShell betiğini kopyalamak için bir düğmeye tıklaması yönünde talimatlar içeriyordu. Ayrıca sorunu düzeltmek için betiğin yönetici olarak manuel olarak nasıl çalıştırılacağına ilişkin talimatlar da içeriyordu. Talimatlar takip edilirse kullanıcının PowerShell betiğini PowerShell komut satırı penceresine yapıştırması yeterlidir ve başka bir işlem yapılmasına gerek kalmaz.
Kurban talimatları takip ederse, kötü amaçlı yazılım yükleyicileri Darkgate, Matanbuchus, yine suçlular tarafından kötüye kullanılan uzaktan bakım aracı NetSupport veya Infostealer gibi çeşitli kötü amaçlı programlar yüklenebilir. Proofpoint, bu tür tehditlerin tespit edilmesi zor olduğundan tehlikeyi ciddi olarak sınıflandırır. Ayrıca antivirüs yazılımları ve “Uç Nokta Tespit ve Yanıt” programlarında pano içeriklerini kontrol etmede sorunlar yaşanmaktadır. Şirketlerde şüpheli faaliyetler fark edilirse derhal bilgi işlem güvenliğine bildirilmelidir.
(mack)
Haberin Sonu