Siber Korsanlar Sahte LinkedIn İş İlanları ile Çalışanları Hedefliyor

Son dönemde LinkedIn üzerinden beyaz yakalıları hedef alan gelişmiş oltalama saldırısı, cihazları “more_eggs” adı verilen ileri seviye bir trojan ile enfekte etmeye çalışıyor.

Saldırının başarı şansını artırmak adına, hedeflenen kişilerin LinkedIn profillerinden alınan iş tanımları ile aynı adı taşıyan kötü amaçlı ZIP dosyaları kullanılıyor.

Örneğin, LinkedIn profilindeki iş; Kıdemli Hesap Yöneticisi-Uluslararası Nakliye ise zip dosyasının başlığı Kıdemli Hesap Yöneticisi-Uluslararası Nakliyat pozisyonu (pozisyon ifadesi en sona ekleniyor) şeklinde oluyor. Zip dosyasını açan kişinin bilgisayarına, gizli bir şekilde more_eggs arka kapı trojanı yükleniyor.

More_eggs trojanın aynı yöntem ile dağıtmaya çalışan siber saldırı eylemleri ilk kez 2018’de keşfedilirken, eylemlerin arkasında Golden Chickens adı verilen Maas (kötü amaçlı yazılım hizmeti) grubunun olduğu düşünülüyor. Yeni saldırıların arkasında kimlerin olduğu henüz kesin değilken, more_eggs geçmişte Cobalt, FIN6 ve EvilNum gibi örgütler tarafından kullanılmıştı.

Yüklenmesinin ardından Windows süreçlerini ele geçiren more_eggs, bu esnada sahte iş belgesini ile dikkat dağıtmaya çalışıyor. Dahası, arka kapı siber korsanların kontrolündeki sunuculardan banka trojanları, fidye yazılımlar, hesap bilgisi çalan yazılımlar gibi kötü amaçlı yazılımları yüklemek için kullanılabiliyor. Ek olarak, sisteme daha derin sızıntı sağlayarak bilgi hırsızlığı yapılmasına olanak veriyor.

More_eggs, siber korsanların hedeflerini kandırabilmek ve bilgisayar sistemlerine sızabilmek için ne tür gelişmiş yöntemler kullandıklarına dair yeni bir örnek. Siber güvenlik uzmanları, pandemi sürecinde artan işsizlikten faydalanmak isteyen siber dolandırıcıların bu tür yöntemler geliştirdiğini belirtti.

İlgili Konu: Sahte Bir LinkedIn Profilini Tespit Etmenin 7 Yolu