Fidye yazılım çetelerinin, kurbanlarını tuzağa çekmek için “abonelik iptali” yalanıyla, sahte çağrı merkezine yönlendirme stratejisini uyguladıkları ortaya çıktı.
“Ücretsiz deneme aboneliğiniz sona erdi! Aboneliğinizin otomatik olarak devam etmesini istemiyorsanız şu numarayı arayın” gibi kimlik avı e-postaları, siber suçluların kullandıkları dolandırıcılık hilelerinin başında geliyor.
Söz konusu yöntem siber saldırganların, kurbanlarının bilgisayarına sızmak için geliştirdiği yeni bir taktik olabileceği şüphesini uyandırıyor. Microsoft ise bunu bir saldırı aracı olarak kullanan bir grubun peşinde.
Microsoft Saldırıları Düzenleyen BazarCall Suç Grubunun Peşinde
Microsoft’un siber güvenlik araştırmacıları bilgisayarlara BazarLoader adlı zararlı yazılım yükleyicisi bulaştırmak için sahte “çağrı merkezlerini” kullanan suç grubu BazarCall’ın peşinde. BazarLoader fidye yazılımı dağıtmak için kullanılan bir zararlı yazılım yükleyicisi.
BazarCall olarak adlandırılan grubun üyeleri Ocak ayından bu yana aktif ve kurbanları Bazarloader’ı bir Windows PC’ye yüklemeye yönlendirmek için çağrı merkezi operatörlerini kullanıyorlar.
Palo Alto Networks’ten Brad Duncan, grubun tekniklerini bir blog yazısında anlattı. Duncan’ın anlattıklarına göre, kötü amaçlı yazılım virüslü bir Windows cihazına arka kapı erişimi sağlıyor. Duncan yazısında şöyle devam ediyor: “Bir kullanıcı virüsle enfekte olduktan sonra, suçlular takip eden kötü amaçlı yazılımlar göndermek, çevreyi taramak ve ağdaki diğer savunmasız ana bilgisayarlardan yararlanmak için bu arka kapı erişimini kullanıyorlar.”
Saldırı genellikle şu şekilde başlıyor: Kurbana deneme aboneliğinin sona erdiğini ve aboneliği iptal etmek için bir numarayı araması gerektiği, aramaması durumunda otomatik olarak kendisinden aylık belli bir ücret alınacağını bildiren kimlik avı e-postaları gönderiliyor.
Saldırı Stratejileri Nasıl Planlanmış?
Microsoft, öncelikle grubun Office 365 kullanıcılarını hedef alan Kimlik Avı e-postalarına odaklandı. Ayrıca insan kaynaklı saldırılara ve fidye yazılımı dağıtımına yol açan aktif bir BazarCall kötü amaçlı yazılım saldırısını da takibe aldı.
BazarCall saldırıları, alıcıları belirli bir hizmet için yapılmış sözde aboneliklerini iptal etmek için bir telefon numarasına yönlendiren e-postaları kullanıyor.
Alıcılar numarayı aradığında, saldırganlar tarafından işletilen sahte bir çağrı merkezi, onlardan bir web sitesini ziyaret etmelerini ve hizmeti iptal etmek için bir Excel dosyası indirmelerini istiyor. Excel dosyası, yükü indiren kötü amaçlı bir makro içeriyor.
Microsoft’un güvenlik ekibi, Active Directory (AD) veritabanı da dahil olmak üzere kimlik bilgilerini çalmak için “Cobalt Strike Penetrasyon Test Kitini” kullanan grubu da gözlemledi. AD hırsızlığı, bir kuruluşun kimliğini ve kimlik bilgilerini içermesi itibariyle şirketin tekrar sahip olmak için binlerce doları gözden çıkarabileceği bir olay.
Kaynak: SiberBülten
İlk yorum yapan olun