HP Wolf Security araştırması, yaz tatili öncesinde tatilcileri hedef alan ve kötü amaçlı çerezler açan pencerelere sahip sahte seyahat rezervasyon web sitelerini ortaya çıkarıyor.
HP, saldırganların kullanıcıların “tıklama yorgunluğundan” yararlanmaya devam ettiğini gösteren en son Tehdit Öngörüleri Raporunu yayınladı. Tehditler, özellikle seyahat fırsatları rezervasyonu gibi hızlı tempolu, zamana duyarlı tarama anlarında kullanıcıların karşısına çıkıyor.
Gerçek dünyadaki siber saldırıların analizini içeren rapor, kurumların hızla değişen siber suç ortamında siber suçluların tespit edilmekten kaçınmak ve bilgisayarları ihlal etmek için kullandıkları en son teknikleri takip etmelerini sağlıyor.
Raporda, daha önce CAPTCHA temalı bir saldırıyla bağlantılı olarak şüpheli alan adlarına yönelik yapılan ve sahte seyahat rezervasyon sitelerini ortaya çıkaran bir araştırmanın ayrıntıları yer alıyor. Sahte sitelerde booking.com’u taklit eden ancak içeriği bulanıklaştırılmış bir marka ve kullanıcıları “Kabul Et” seçeneğine tıklamaları için kandırmak üzere tasarlanmış, kötü amaçlı bir JavaScript dosyasının indirilmesini tetikleyen aldatıcı bir çerez banner’ı yer alıyor.
Dosyayı açmak, saldırganların dosyalara, web kameralarına, mikrofonlara erişmesine ve daha fazla zararlı yazılım dağıtma veya güvenlik araçlarını devre dışı bırakma yeteneğine sahip olmasına neden oluyor; kısacası cihazın tam kontrolünü sağlayan bir uzaktan erişim truva atı (RAT) olan XWorm’u yüklüyor.
GDPR gibi gizlilik düzenlemelerinin yürürlüğe girmesinden bu yana, çerez uyarıları o kadar sıradanlaştı ki çoğu kullanıcı artık “önce tıkla, sonra düşün” alışkanlığına kapıldı. Tatilcilerin seyahat planlarını aceleyle yaptığı bir dönemde, saldırganlar bir rezervasyon sitesinin görünümünü taklit ederek gelişmiş yöntemlere ihtiyaç duymadan tuzak kurabiliyor — doğru zamanda çıkan bir çerez uyarısı ve kullanıcının refleksle tıklaması yeterli oluyor.
HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Patrick Schläpfer şu yorumu yapıyor:
“GDPR gibi gizlilik düzenlemelerinin yürürlüğe girmesinden bu yana, çerez istemleri o kadar normalleşti ki, çoğu kullanıcı ‘önce tıkla, sonra düşün’ alışkanlığı edindi. Tatilcilerin seyahat planları yapmak için acele ettiği bir zamanda bir rezervasyon sitesinin görünümünü ve hissini taklit eden saldırganların gelişmiş tekniklere ihtiyacı yok. Sadece iyi zamanlanmış bir istem ve kullanıcının tıklama içgüdüsü yeterli.”
HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen verilere dayanan HP tehdit araştırmacıları şunları keşfetti:
- Sahte Dosyalar Göz Önünde Saklanıyor: Saldırganlar, kötü amaçlı yazılımları “Belgeler” veya “İndirilenler” gibi tanıdık görünen yerel klasörlerin içine gizlemek için Windows Kütüphane dosyalarını kullandı. Kurbanlara, içinde PDF dosyasına benzeyen bir kısayolun yer aldığı uzak bir WebDAV klasörünü gösteren bir Windows Explorer penceresi açıldı. Bu kısayola tıklandığında, kötü amaçlı yazılım çalıştırıldı.
- PowerPoint Tuzağı Klasör Açılışını Taklit Ediyor: Tam ekran modunda açılan kötü amaçlı bir PowerPoint dosyası, standart bir klasörün açılışını taklit ediyor. Kullanıcılar kaçmak için tıkladıklarında, bir VBScript ve yürütülebilir dosya içeren bir arşiv indirmesini tetikliyorlar ve bu arşiv, GitHub’da barındırılan zararlı yazılımı cihaza indirerek sistemi ele geçirmeyi hedefliyor.
- MSI Yükleyicileri Yükselişte: MSI yükleyicileri, büyük ölçüde ChromeLoader saldırıları tarafından yönlendirilen zararlı yazılımları dağıtmak için kullanılan en iyi dosya türleri arasında yer alıyor. Genellikle sahte yazılım siteleri ve kötü amaçlı reklamlar aracılığıyla dağıtılan bu yükleyiciler, güvenilir görünmek ve Windows güvenlik uyarılarını atlamak için geçerli, yakın zamanda verilen kod imzalama sertifikalarını kullanıyor.
Bilgisayarlarda tespit araçlarını atlatan tehditleri izole ederken, kötü amaçlı yazılımların korumalı sanal ortamlarda güvenli şekilde çalışmasına olanak tanıyan HP Wolf Security, siber suçluların en güncel tekniklerine dair özel içgörüler sağlıyor. Bugüne kadar HP Wolf Security kullanıcıları, 50 milyardan fazla e-posta eki, web sayfası ve indirilen dosyaya tıklamasına rağmen herhangi bir ihlal bildirimi yaşanmadı.
HP Inc. Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt şu yorumu yapıyor:
“Kullanıcılar pop-up’lara ve izin taleplerine karşı duyarsızlaşıyor ve bu da saldırganların aradan sıyrılmasını kolaylaştırıyor. Çoğu zaman, kullanıcıları yakalayan sofistike teknikler değil, rutin anlardır. Bu etkileşimler ne kadar açık olursa risk de o kadar artar. Güvenilmeyen içeriğe tıklamak gibi yüksek riskli anları izole etmek, işletmelerin her saldırıyı tahmin etmelerine gerek kalmadan saldırı yüzeylerini azaltmalarına yardımcı olur.”
Kaynak : 