Kaspersky, Haziran 2025’ten bu yana 1.100’den fazla kurumsal kullanıcıyı hedef alan hızla büyüyen bir kötü amaçlı yazılım kampanyası tespit etti. Saldırganlar, kendilerini bir hukuk firması gibi tanıtarak gönderdikleri e-postalarda alıcıları, sözde alan adı patent ihlalleri nedeniyle dava açmakla tehdit ediyor ve kötü amaçlı yazılım yaymayı hedefliyor. Yasal belge izlenimi veren ekli dosyaları açıp çalıştıran kurbanların cihazlarına bir Truva atı yükleniyor ve saldırganlar ekran içeriklerini izleyebiliyor. Sağlık, finans ve eğitim gibi sektörlerdeki kurumlar da bu saldırılardan etkiliyor.
Kampanya 11 Haziran’da gönderilen 95 e-posta ile başladı ve o zamandan bu yana giderek artarak devam ediyor. Saldırganlar, alıcının alan adının büyük bir markayla ilişkili patentli kombinasyonları ihlal ettiğini iddia ederek dava tehdidinde bulunmakla kalmıyor, aynı zamanda sahte hukuk bürosu adına patent sahibinin alan adını satın almakla ilgilendiğini de belirtiyor. E-postada, sözde ihlallere ilişkin detayların “belgeleri” içeren ekli arşiv dosyası aracılığıyla incelenebileceği belirtiliyor. Dikkat çekici bir nokta ise saldırganların muhtemelen tespitten kaçınmak için doğrudan parola korumalı bir dosya göndermek yerine, parola korumasız bir arşiv içerisine bir parola korumalı arşiv ve bu arşivin şifresini içeren ayrı bir dosya yerleştirmeleri.
Kullanıcı arşiv şifresini girdikten ve içindeki sözde yasal belgeye tıkladıktan sonra, cihaza bir Truva atı yüklendi. Kullanıcının karşısına “Bu belge bu cihazda açılamıyor. Başka bir Windows cihazında açmayı deneyin.” şeklinde bir mesaj çıktı. Aynı anda arka planda gizlice Tor Tarayıcısı indirildi ve yüklendi. Bu tarayıcı aracılığıyla kötü amaçlı yazılım, kullanıcının ekran görüntülerini düzenli olarak Tor ağı üzerinden saldırganlara iletti. Ayrıca bu kötü amaçlı yazılım, bilgisayar her yeniden başlatıldığında otomatik olarak çalışmaya devam ediyor.
Kaspersky spam analisti Anna Lazaricheva şunları diyor:
“Kampanya, psikolojik manipülasyon ile teknik aldatmacayı ustaca bir şekilde birleştiriyor. Saldırganlar, yasal işlem korkusunu kullanarak işletmeleri, ekli arşivlerde gizlenmiş zararlı dosyaları çalıştırmaya zorluyor. 11 Haziran’dan bu yana hızla büyümesi, kurumların savunmalarını güçlendirmesinin ne kadar acil olduğunu gösteriyor. Mağdurlar, gizli verilerini kaybetme riskiyle karşı karşıya. Bu gelişen tehdide karşı koyabilmek için güçlü e-posta güvenliği, çalışan eğitimi ve hızlı olay bildirimi hayati önem taşıyor,”
Kaspersky, Kurumsal ve Bireysel Kullanıcılara Şunları Öneriyor:
• E-posta eklerini açmadan önce dikkatli olun. Şüpheli görünen hiçbir arşiv dosyasını (şifre korumalı olanlar dahil) açmayın. Yürütülebilir dosyaları çalıştırmayın; bu tür dosyalar kötü amaçlı yazılım içerebilir.
• Gönderenin kimliğini doğrulamaya çalışın; istenmeyen e-postalarda belirtilen yasal iddiaların veya kurumların geçerliliğini teyit edin.
• Saldırı girişimlerini tespit edip engelleyebilecek uç nokta koruma çözümleri uygulayın.
• Personelin saldırı taktiklerini tanıyabilmesi için eğitim verin.
• Şüpheli oltalama (phishing) e-postalarına eklenmiş dosyaların açılması durumunda, derhal bilgi teknolojileri veya siber güvenlik ekiplerine haber verin.
Kaynak : 