Google Bağlantıları Kullanılan Sahte Formlar Kötü Amaçlı Yazılım Yayıyor

Microsoft, şirket web sayfalarındaki bağlantı formları aracılığıyla gönderilen ve Google URL‘leri içeren sahte e-postalarda IcedID bankacılık trojanı yayıldığını duyurdu.

Uzmanlar, siber dolandırıcıların çalışanlara erişebilmek adına şirket web sayfalarında yer alan bağlantı formlarını “açık bir kapı” olarak kullanmaya başladıklarını ifade etti.

Saldırıda dikkat çeken nokta, siber dolandırıcıların gönderdiği e-postalarda Google bağlantıları bulunması, çalışanların Google kullanıcı adı ve şifrelerini girmeye teşvik etmesi.

Microsoft, yasal bağlantılarının siber dolandırıcılıkta kullanıldığına yönelik Google’a gerekli uyarının yapıldığını açıkladı. Google bağlantıları, siber saldırıda güvenlik bariyerlerinin aşılmasını sağlıyor. Siber dolandırıcıların aynı zamanda bot ile gerçek kullanıcı ayrımı yapan CAPTCHA basamağını da aşabildiği not düşüldü.

Microsoft, siber saldırganların güvenlik bariyerlerini aşmak ve hedefledikleri kişilerin hassas bilgilerini çalmak adına bağlantı formları gibi meşru altyapıları kullandıklarını kaydederek kullanılan yöntemin endişe verici olduğunu ve IceID kötü amaçlı yazılımı yaymak için URL’lerin kullanıldığını belirtti.

Yeni saldırılar için kullanılıyor…

Bankacılık trojanı ve bilgi çalmak için kullanılan IceID, giriş kapısı oluşturduktan sonra yeni saldırıların gerçekleştirilmesi için kullanılıyor. Bunlar arasında, yüksek değer içeren hedeflere yöneltilen elle gerçekleştirilen saldırılar yer alıyor. Fidye yazılımların büyük kısmı siber saldırganlar tarafından klavye başında gerçekleştiriliyor.

Microsoft, şirketlerin bağlantı formlarını hedefleyen e-postalar tespit ettiklerini, buradan yola çıkarak siber dolandırıcıların tüm süreci otomatik gerçekleştiren bir araç kullanıyor olabileceğini de öne sürdü.

E-postalar kendi bağlantı formları üzerinden çalışanlara ve e-posta pazarlama sistemlerine ulaştığı için devlet kurumları tarafından tespit edilmesi zor bir saldırı yöntemini temsil ediyor.

E-postalar alıcının kendi web sayfasındaki kendi bağlantı formundan oluştuğu için e-posta şablonları gerçek bir müşteri ve anketin sunacağı içerik ile uyuşuyor. Siber dolandırıcılar, e-postalarda çalışanların tepki vermesini sağlayacak telif ihlali uyarısı gibi içerikler kullanıyor. Ardından, telif hakkı ihlal edildiği öne sürülen görüntülerin kaynağı olarak meşru bir bağlantı sunuluyor.

Eğer kullanıcı bağlantıya tıklarsa, sites.google.com sayfası otomatik olarak Javascript dosyası ile birlikte bir .zip dosyası indiriyor. IceID .dat dosyası olarak indiriliyor. Aynı zamanda siber saldırganın internet üzerinden sızdığı cihazı kontrol edebilmesini sağlayan Cobalt Strike adlı penetrasyon test kitinin de bir içeriği indiriliyor.