Proofpoint’ten güvenlik araştırmacıları, yakın zamanda kimlik avı e-postaları yoluyla yayılan ve güvenlik sistemlerini atlatarak çeşitli verilere erişmek için kendini Google E-Tablolar olarak gizleyen “Voldemort” adlı yeni bir kötü amaçlı yazılım konusunda uyarıda bulundu.
Şirketler, işletmeler ve kuruluşlar bu kötü amaçlı yazılımın başlıca hedefleridir, özellikle sigorta, havacılık, ulaşım ve eğitim sektörlerinde. Bu kötü amaçlı yazılım saldırısının arkasındaki aktörler hala bilinmiyor, ancak Proofpoint bunun bir tür siber casusluk olduğuna inanıyor.
Voldemort kimlik avı e-postaları ABD, Avrupa veya Asya’daki yetkililerden geliyormuş gibi görünür. Rapora göre saldırganlar kimlik avı e-postalarını hedef organizasyonun konumunu kamuya açık bilgilere göre eşleştirecek şekilde tasarlar ve e-postaların kendileri “güncellenmiş vergi bilgileri” içeren sözde belgelere bağlantılar içerir.
İlgili: Dikkat edilmesi gereken en yaygın kimlik avı dolandırıcılıkları
Tıkladığınızda ne olur?
Kötü amaçlı yazılım kampanyası 5 Ağustos 2024’te başladı ve saldırganlar 70’ten fazla hedef şirkete 20.000’den fazla e-posta gönderdi. Yoğun günlerde, kimlik avı e-postaları 6.000’e kadar potansiyel kurbana ulaşıyor.
Bir kurban e-postalardaki bir bağlantıya tıkladığında, şüpheli görünmeyebilecek bir PDF olarak gizlenmiş bir dosyayı indirmeye yönlendirilir. Ancak kötü amaçlı yazılım kendini ağ trafiği olarak gizler ve Google Sheets’i bir komut ve kontrol sunucusu olarak kullanır (C2 saldırısı olarak da bilinir) — ve güvenlik sistemleri, gömülü erişim verilerini içeren Google API’sini kullandığı için kötü amaçlı yazılım trafiğini şüpheli olarak sınıflandırmaz.
Kötü amaçlı yazılım öncelikle veri çalmak için oradadır, ancak ek kötü amaçlı yazılımlar indirme, dosyaları silme, kendini geçici olarak devre dışı bırakma ve daha fazlasını yapma yeteneğine de sahiptir. Bir anlamda, arka kapı görevi görebilir ve bu nedenle enfekte sistemler için çok yönlü bir tehdittir.
İlgili: Kötü amaçlı yazılımlar antivirüs yazılımınızı nasıl aşabilir?
Kendinizi nasıl koruyabilirsiniz?
Voldemort kötü amaçlı yazılım saldırısına karşı koruma sağlamak için Proofpoint, harici dosya paylaşım hizmetlerinden güvenilir sunuculara erişimin kısıtlanmasını, aktif olarak ihtiyaç duyulmadığında TryCloudflare’e olan bağlantıların engellenmesini ve şüpheli PowerShell yürütmelerinin izlenmesini öneriyor.
Proofpoint’in raporunun tamamına buradan ulaşabilirsiniz.
Bu makale ilk olarak kardeş yayınımız PC-WELT’te yayınlanmış olup Almancadan çevrilmiş ve yerelleştirilmiştir.