Computer Security Dolandırıcılık Uyarısı! Siber Suçlular, Kötü Amaçlı...

Dolandırıcılık Uyarısı! Siber Suçlular, Kötü Amaçlı Yazılım İçeren Düzeltme Güncellemeleriyle CrowdStrike Kesintisinden Yararlanıyor

Geçen haftaki CrowdStrike kesintisinin ardından siber suçlular, güvenlik sağlayıcısının müşterilerini hedef alan bir sosyal mühendislik saldırıları dalgası başlatma fırsatını yakaladı. Hava yolculuğunu kesintiye uğratan, mağazaları kapatan ve tıbbi tesisleri etkileyen bu olayı, ABD, İngiltere, Kanada ve Avustralya'daki ulusal siber güvenlik kuruluşları tarafından bildirilen kimlik avı faaliyetlerinde bir artış izledi.

BforeAI CEO'su Luigi Lenguito'ya göre, CrowdStrike sonrası bu saldırılar, önemli haber olaylarını takip eden tipik saldırılara kıyasla çok daha verimli ve hedefe yönelik. Lenguito, "Geçen hafta Trump'a düzenlenen saldırıda, ilgili siber tehditlerin ilk gününde 200'den fazla artış gördük, daha sonra bu sayı günde 40-50'ye düştü" dedi. "Burada üç kat daha büyük bir artışa bakıyorsunuz. Günde yaklaşık 150 ila 300 saldırı görüyoruz ki bu, haberlerle ilgili saldırılar için normal bir hacim değil."

CrowdStrike Temalı Dolandırıcılığın Profili

Bu dolandırıcılıkların ardındaki strateji açıktır: Birçok büyük şirketin kullanıcısı CrowdStrike hizmetlerine bağlanamadığından, siber suçlular bu güvenlik açığından yararlanmaktadır. Bu saldırıların hedefe yönelik doğası, onları siyasi olaylarla ilgili olanlar gibi diğer temalı dolandırıcılıklardan farklı kılmaktadır. Kurbanlar genellikle teknik olarak daha becerikli ve siber güvenlik konusunda bilgilidir.

Saldırganlar CrowdStrike'ın, ilgili teknik desteğin ve hatta kendi "çözümlerini" sunan rakip şirketlerin kimliğine bürünüyor. Crowdstrikefix[.]com, Crowdstrikeupdate[.]com ve www.microsoftcrowdstrike[.]com gibi kimlik avı ve yazım hatası alan adları ortaya çıktı ve bu tür 2.000'den fazla alan adı belirlendi.

Bu alanlar, daha sonra RemCos RAT'ı yükleyen HijackLoader'ı (IDAT Yükleyici olarak da bilinir) içeren bir düzeltme gibi görünen bir ZIP dosyası da dahil olmak üzere kötü amaçlı yazılım dağıtmak için kullanılıyor. Bu dosyanın ilk olarak Meksika'dan bildirildiği ve İspanyolca dildeki dosya adlarını içerdiği, Latin Amerika'daki CrowdStrike müşterilerine odaklanıldığına işaret ediyor.

Başka bir örnekte, saldırganlar kötü tasarlanmış bir PDF eki içeren bir kimlik avı e-postası gönderdi. PDF, yürütülebilir bir ZIP dosyasını indirmek için bir bağlantı içeriyordu. Yürütülebilir dosya başlatıldığında, bir silici olduğu ortaya çıkan bir güncellemeyi yüklemek için izin istedi. Hamas yanlısı hacktivist grup "Handala", bunun sonucunda "düzinelerce" İsrailli kuruluşun birkaç terabaytlık veri kaybettiğini belirterek sorumluluğu üstlendi.

Bu Tehditlere Karşı Korunmak

Kuruluşlar, engellenenler listeleri uygulayarak, koruyucu DNS araçlarını kullanarak ve yalnızca CrowdStrike'ın resmi web sitesinden ve müşteri hizmetleri kanallarından destek almalarını sağlayarak kendilerini koruyabilirler. Lenguito, saldırılardaki artışın hâlâ başlangıç aşamasında olduğunu ancak önümüzdeki haftalarda muhtemelen azalacağını öne sürüyor. "Genellikle bu kampanyalar iki ila üç hafta sürüyor" dedi.

Kuruluşlar, dikkatli kalarak ve teknik destek için doğrulanmış kaynaklara güvenerek, bu karmaşık ve hedefe yönelik kimlik avı saldırılarının oluşturduğu riskleri azaltabilir.

Yükleniyor...