- Gelişmiş LinkedIn kimlik avı, yöneticileri hedeflemek için sahte iş reklamları kullanıyor
- Saldırılar, uzaktan erişim truva atlarını yüklemek için DLL yan yüklemesini ve Python araçlarını kullanır
- ReliaQuest, kimlik avının e-postanın ötesine geçerek gözden kaçan sosyal medya platformlarını istismar ettiği konusunda uyardı
İşletme yöneticileri ve BT yöneticileri, e-posta gelen kutusunda değil, LinkedIn’de gerçekleşen son derece karmaşık bir kimlik avı saldırısının hedefi oluyor.
Güvenlik araştırmacıları ReliaQuest, meşru güvenlik önlemlerini birleştiren yeni bir saldırı gördüklerini söyledi. Piton “yüksek değerli hedeflere” uzaktan erişim truva atları (RAT) bulaştırmak için projelere sızma testi, DLL yan yüklemesi ve sahte iş reklamları.
ReliaQuest’in raporuna göre kurbanlar özenle seçiliyor ve bir iş projesine veya işe davet ediliyor. LinkedIn mesajı, tıklandığında WinRAR kendi kendine açılan arşivi (SFX) indiren bir indirme bağlantısıyla birlikte gelir. Dosya adı genellikle ürün yol haritası veya proje planı gibi kurbanın rolüne göre uyarlanır.
RAT’ı dağıtma
Kurban arşivi açtığında, birden fazla dosyayı otomatik olarak aynı klasöre çıkararak paketin meşru görünmesini sağlıyor. Kurban daha sonra şunları başlatır: PDF okuyucu normal bir belge açtıklarına inanarak arşive dahil edilenler.
Bu okuyucu daha sonra arşivde bulunan kötü amaçlı bir DLL dosyasını yükler. DLL tarafından dışarıdan yükleme olarak bilinen bu yöntemin, saldırganın kodunu anında güvenlik uyarısı vermeden çalıştırdığı açıklandı.
Kötü amaçlı DLL, kalıcılığı sağlamak için bir Windows kayıt defteri “Çalıştır” anahtarı ekler ve ardından yine arşivde bulunan taşınabilir bir Python yorumlayıcısını çalıştırır. Bu araç, Base64 kodlu, açık kaynaklı bir bilgisayar korsanlığı aracını doğrudan bellekte çalıştırır.
Buna karşılık, kötü amaçlı yazılım uzaktan erişim truva atlarının standart davranışı olan bir komut ve kontrol sunucusuyla iletişim kurmaya başlar.
ReliaQuest, “Bu kampanya, kimlik avının e-posta gelen kutularıyla sınırlı olmadığını hatırlatıyor. Kimlik avı saldırıları, sosyal medya, arama motorları ve mesajlaşma uygulamaları gibi alternatif kanallar (birçok kuruluşun güvenlik stratejilerinde hala gözden kaçırdığı platformlar) üzerinden gerçekleşiyor” dedi.
“Sosyal medya platformları, özellikle de kurumsal cihazlardan sıklıkla erişilenler, saldırganlara yöneticiler ve BT yöneticileri gibi yüksek değerli hedeflere doğrudan erişim sağlayarak onları siber suçlular için paha biçilmez kılıyor.”
Aracılığıyla Siber haberler
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.