Kaspersky berbat hedefli Emotet ve Qbot yazılımlarını yayan ve kurumsal kullanıcıları hedefleyen makûs niyetli bir Escort bayan spam e posta operasyonu faaliyetinde değerli bir artış olduğunu ortaya çıkardı Bu çeşit berbat hedefli e postaların sayısı Şubat 2022’de yaklaşık 3 binden Mart’ta yaklaşık 30 bine yükseldi Operasyonun Emotet Bayan escort botnetinin artan aktifliğiyle kontaklı olduğu düşünülüyor
Kaspersky uzmanları çeşitli ülkelerdeki kuruluşları hedefleyen karmaşık makûs gayeli spam e postalarda değerli bir büyüme tespit etti Bu e postalar botnet ağlarının bir kesimi Escort olarak fonksiyon gören iki ünlü bankacılık Truva atı olan Qbot ve Emotet’i yaymayı amaçlayan planlı bir operasyonun kesimi olarak dağıtılıyor Her iki makûs gayeli yazılım örneği kullanıcıların datalarını çalabiliyor virüsle şirket ağındaki dataları toplayabiliyor ağ genelinde yayılabiliyor ve ağdaki başka aygıtlara fidye yazılımı yahut başka Truva atlarını yükleyebiliyor Qbot’un fonksiyonlarından biri de e postalara erişmek ve bunları çalmak olarak öne çıkıyor
Bu operasyon birkaç aydır devam ederken aktifliği Şubat 2022’de 3 bin e postadan Mart’ta 30 bine yükseldi Operasyonda İngilizce Fransızca Macarca İtalyanca Norveççe Lehçe Rusça Slovence ve İspanyolca lisanlarında yazılmış berbat hedefli e postalar algılandı
Kötü emelli yazılım yayma operasyonu şu biçimde gerçekleşiyor Siber hatalılar halihazırdaki mevcut yazışmaların ortasına giriyor ve alıcıları ekseriyetle yasal ve tanınan bir bulut barındırma hizmetine yönlendiren bir evrak yahut irtibat içeren bir e posta gönderiyor E postanın hedefi kullanıcıları ilişkiyi takip etmeye ve arşivlenmiş bir belgeyi indirmeye bazen e postada belirtilen bir şifreyi kullanarak açmaya yahut yalnızca e posta ekini açmaya ikna etmeye odaklanıyor Saldırganlar kullanıcıları belgeyi açmaya yahut indirmeye ikna etmek için ekseriyetle evrakın ticari teklif üzere kimi kıymetli bilgiler içerdiğini söylüyor
Bu evrak Kaspersky tarafından HEUR Trojan MSOffice Generic olarak tanımlandı ve kayıt altına alındı Açılırsa birçok durumda Qbot dinamik kütüphanesini indirip başlatıyor Fakat Kaspersky bu ziyanlı yazılımın bunun yerine bazen Emotet i indirdiğini de gözlemledi
Tehlikeli operasyon hakkında yorum yapan Kaspersky Güvenlik Uzmanı Andrey Kovtun şunları söyledi: “İş yazışmalarını taklit etmek siber hatalılar tarafından yaygın olarak kullanılan bir numaradır. Lakin bu operasyon daha karmaşık, zira saldırganlar mevcut bir yazışmanın ortasına giriyor ve kendilerini bu konuşmaya dahil ediyor. Bu da bu cins bildirilerin tespit edilmesini zorlaştırıyor. Bu teknik saldırganların bir iş arkadaşı üzere davranıp kurbanla sohbet ettiği kurumsal e-posta güvenliği ihlal hücumlarına (BEC saldırıları) benzese de burada saldırganlar belli şahısları amaç almıyor. İş yazışmaları, alıcının evrakları açma talihini artırmanın makul bir yolu.”
Qbot ve Emotet ataklarından korunmak için Kaspersky şunları öneriyor
- Göndericinin adresi denetim edilmelidir Birden fazla spam bildirisi anlaşılmaz yahut saçma görünen e posta adreslerinden gelir Örneğin email protected üzere Gönderenin isminin üzerine gelerek tam e posta adresi görülebilir Bir e posta adresinin yasal olup olmadığını denetim etmek için adres bir arama motorunda aratılabilir
- Aciliyet duygusu yaratan bildirilere karşı dikkatli olunmalıdır Spam gönderenler ekseriyetle bir aciliyet duygusu yaratarak belgenin indirilmesi ve açılması için baskı uygulamaya çalışırlar Örneğin mevzu satırı harekete geçmeye zorlamak için acil yahut acil süreç gerekli üzere sözler içerebilir
- Personele temel siber güvenlik hijyeni eğitimi verilmelidir Ayrıyeten kimlik avı e postalarını gerçek olanlardan nasıl ayırt edileceğini denetim etmek için simüle edilmiş bir kimlik avı atağıyla marifetleri denetlenebilir
- Kimlik avı e postası yoluyla bulaşma mümkünlüğünü azaltmak için uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business üzere kimlik avına karşı muhafaza özelliklerine sahip bir müdafaa tahlili kullanılmalıdır
- İstenmeyen iletileri otomatik olarak filtreleyen Kaspersky Secure Mail Gateway üzere sağlam bir güvenlik tahlili kurulmalıdır
Kaynak BHA Beyaz Haber Ajansı
