Kaspersky, dünya genelindeki işletmeleri hedef alan alışılmadık bir spam kampanyasını ortaya çıkardı. Satıcılardan veya diğer şirketlerden gelen …
Kaspersky, dünya genelindeki işletmeleri hedef alan alışılmadık bir spam kampanyasını ortaya çıkardı. Satıcılardan veya diğer şirketlerden gelen e-postaları taklit eden saldırganlar, Agent Tesla hırsızlık yazılımıyla kurumlardan sisteme giriş verilerini çalmaya çalıştı. Çalınan mevzu bahis kimlik bilgileri darkweb forumlarında satışa sunulabiliyor veya ilgili kuruluşlara yönelik hedefli saldırılarda kullanılabiliyor. Türkiye, saldırıdan etkilenen kullanıcı sayısı açısından ilk 5 ülke arasında yer aldı. Mayıs-Ağustos 2022 arasında yaklaşık 13 bin 326 kullanıcı bu hırsızlık girişiminin muhatabı oldu.
Siber suçlular, günümüzde toplu spam kampanyalarına yatırım yapıyor. Kaspersky tarafınca yapılan son araştırmanın sonuçları bunun açık bir kanıtı niteliğinde. Çeşitli kuruluşlara yönelik ortaya çıkarılan yeni spam e-posta kampanyası, gerçek şirketler tarafınca gönderilmiş süsü verilen yüksek nitelikli sahte mesajlardan oluşuyordu. Saldırganlar amaçlarını yerine getirmek için kimlik doğrulama verilerini, ekran görüntülerini, web kameralarından ayrıca klavyelerden alınan verileri çalmak için tasarlanmış, iyi bilinen bir Truva Atı olan Agent Tesla hırsızlık yazılımını kullandılar. Bu kötü amaçlı yazılım, e-postaya eklenmiş halde kendi kendine açılan bir arşiv şeklinde dağıtıldı.
Bir e-posta örneğinde Malezyalı potansiyel müşteri gibi davranan biri, alıcıdan bazı müşteri gereksinimlerini gözden geçirmesini ayrıca istenen belgeleri göndermesini talep etmek için tuhaf bir İngilizce kullanıyor. Genel format kurumsal yazışma standartlarına uygun, gerçek şirkete ait bir logo ayrıca gönderen bilgilerini içeren imza gayet düzgün görünüyor. Dile dair hatalar da ana dili İngilizce olmayan bir göndericiye kolayca atfedilebilecek türden.
E-postayla ilgili tek şüpheli durum, gönderici adresi olan [email protected]***.com’un satın alma için değil, genellikle haberler için kullanılan bir “bülten” olarak etiketlenmiş olması. Ve gönderenin alan adı, logodaki şirket adından farklı.
Bir diğer e-postada sözde bir Bulgar müşteri, anlaşmanın ayrıntılarını öğrenmek için bazı ürünlerin ayrıca tekliflerin mevcudiyeti hakkında bilgilendirme istiyor. Talep edilen ürün listesinin ekte olduğu söyleniyor. Göndericinin şüpheli mail adresi ise şirketle görünüşte hiçbir ilgisi olmayan, hatta Bulgar bile değil Yunan alan adına sahip.
Mesajlar sınırlı bir IP adresi aralığından geliyor ayrıca ekteki dosyalarda hep aynı kötü amaçlı yazılım olan Agent Tesla yer alıyor. Bu da araştırmacıların tüm bu mesajların tek bir hedefli kampanyanın parçası olduğunu düşünmesini sağlıyor.
Kaspersky Güvenlik Uzmanı Roman Dedenok, şunları söylüyor: “Agent Tesla, bulaştığı kurumlardan şifreleri ayrıca diğer kimlik bilgilerini almak için kullanılan oldukça popüler bir hırsızlık yazılımı. 2014’ten beri varlığı biliniyor ayrıca spam gönderenler tarafınca toplu saldırılarda yaygın olarak kullanılıyor. Ancak bu kampanyada siber suçluların hedefli saldırılara özgü teknikleri benimsediğini gördük. Gönderilen e-postalar özellikle ilgili şirket için özel olarak tasarlanmıştı ayrıca meşru mesajlardan neredeyse hiç farkları yok gibiydi.”
Kaspersky ürünleri, Agent Tesla hırsızını Trojan-PSW.MSIL.Agensla olarak algılıyor.
Agent Tesla hakkında daha fazla bilgilendirme edinmek için Securelist raporuna göz atabilirsiniz.
Spam e-posta kampanyalarından korunmak için Kaspersky aşağıdakileri öneriyor: