Kaspersky, dünya genelindeki işletmeleri hedef alan alışılmadık bir spam kampanyasını ortaya çıkardı. Satıcılardan veya diğer şirketlerden gelen e-postaları taklit eden saldırganlar, Agent Tesla hırsızlık yazılımıyla kurumlardan sisteme giriş verilerini çalmaya çalıştı. Çalınan söz konusu kimlik bilgileri darkweb forumlarında satışa sunulabiliyor veya ilgili kuruluşlara yönelik hedefli saldırılarda kullanılabiliyor. Türkiye, saldırıdan etkilenen kullanıcı sayısı açısından ilk 5 ülke arasında yer aldı. Mayıs-Ağustos 2022 arasında yaklaşık 13.326 kullanıcı bu hırsızlık girişiminin muhatabı oldu.
Siber suçlular, günümüzde toplu spam kampanyalarına yatırım yapıyor. Kaspersky tarafından yapılan son araştırmanın sonuçları bunun açık bir kanıtı niteliğinde. Çeşitli kuruluşlara yönelik ortaya çıkarılan yeni spam e-posta kampanyası, gerçek şirketler tarafından gönderilmiş süsü verilen yüksek nitelikli sahte mesajlardan oluşuyordu. Saldırganlar amaçlarını yerine getirmek için kimlik doğrulama verilerini, ekran görüntülerini, web kameralarından ve klavyelerden alınan verileri çalmak için tasarlanmış, iyi bilinen bir Truva Atı olan Agent Tesla hırsızlık yazılımını kullandılar. Bu kötü amaçlı yazılım, e-postaya eklenmiş halde kendi kendine açılan bir arşiv şeklinde dağıtıldı.
Bir e-posta örneğinde Malezyalı potansiyel müşteri gibi davranan biri, alıcıdan bazı müşteri gereksinimlerini gözden geçirmesini ve istenen belgeleri göndermesini talep etmek için tuhaf bir İngilizce kullanıyor. Genel format kurumsal yazışma standartlarına uygun, gerçek şirkete ait bir logo ve gönderen bilgilerini içeren imza gayet düzgün görünüyor. Dile dair hatalar da ana dili İngilizce olmayan bir göndericiye kolayca atfedilebilecek türden.
E-postayla ilgili tek şüpheli durum, gönderici adresi olan newsletter@trade***.com’un satın alma için değil, genellikle haberler için kullanılan bir “bülten” olarak etiketlenmiş olması. Ayrıca gönderenin alan adı, logodaki şirket adından farklı.
Bir diğer e-postada sözde bir Bulgar müşteri, anlaşmanın ayrıntılarını öğrenmek için bazı ürünlerin ve tekliflerin mevcudiyeti hakkında bilgi istiyor. Talep edilen ürün listesinin ekte olduğu söyleniyor. Göndericinin şüpheli mail adresi ise şirketle görünüşte hiçbir ilgisi olmayan, hatta Bulgar bile değil Yunan alan adına sahip.
Mesajlar sınırlı bir IP adresi aralığından geliyor ve ekteki dosyalarda hep aynı kötü amaçlı yazılım olan Agent Tesla yer alıyor. Bu da araştırmacıların tüm bu mesajların tek bir hedefli kampanyanın parçası olduğunu düşünmesini sağlıyor.
Kaspersky Güvenlik Uzmanı Roman Dedenok, şunları söylüyor:
“Agent Tesla, bulaştığı kurumlardan şifreleri ve diğer kimlik bilgilerini almak için kullanılan oldukça popüler bir hırsızlık yazılımı. 2014’ten beri varlığı biliniyor ve spam gönderenler tarafından toplu saldırılarda yaygın olarak kullanılıyor. Ancak bu kampanyada siber suçluların hedefli saldırılara özgü teknikleri benimsediğini gördük. Gönderilen e-postalar özellikle ilgili şirket için özel olarak tasarlanmıştı ve meşru mesajlardan neredeyse hiç farkları yok gibiydi.”
Kaspersky ürünleri, Agent Tesla hırsızını Trojan-PSW.MSIL.Agensla olarak algılıyor.
Spam e-posta kampanyalarından korunmak için Kaspersky aşağıdakileri öneriyor:
- Personelinize temel siber güvenlik hijyeni eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için kimlik avı simülasyonu saldırıları gerçekleştirin
- Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için, uç noktalarda ve posta sunucularında kimlik avına karşı koruma sağlayan sahip bir koruma çözümü kullanın.
- Microsoft 365 bulut hizmetini kullanıyorsanız, orayı da korumayı unutmayın.
Kaynak : 