Siber güvenlik araştırmacıları, Trustwave SpiderLabs ekibi, Windows arama işlevini kullanarak kurbanları kötü amaçlı yazılım indirmeye teşvik eden yeni bir siber suç kampanyası tespit etti. Bu kampanya, hem zekice hem de düşük hacimli olarak nitelendirildi.
Güvenlik Tehditlerinin Yeni Yüzü
Araştırmacılar, "Bu teknik, saldırganın gerçek niyetini ustaca gizleyerek kullanıcıların tanıdık arayüzlere ve e-posta ekleri gibi yaygın eylemlere duyduğu güveni istismar ediyor" dedi.
E-posta Gelen Kutunuza Dikkat
Saldırı, bir oltalama e-postası ile başlıyor ve bu e-posta genellikle bir fatura gibi görünüyor. E-posta, bir HTML dosyası içeren .ZIP arşivi taşıyor ve bu şekilde antivirüs ve e-posta güvenlik programlarını atlatabiliyor. HTML dosyası, tarayıcıyı açarak Windows Explorer'ın arama işlevi ile etkileşime geçmesini sağlıyor.
Windows Explorer, "INVOICE" olarak etiketlenmiş öğeleri belirli bir dizinde aramakla görevlendiriliyor. Bu dizin, Cloudflare üzerinden tünellenmiş bir sunucuda bulunuyor. Ayrıca, arama "Downloads" olarak yeniden adlandırılıyor, bu da kurbanların aslında indirdikleri dosyaya baktıklarını sanmalarına neden oluyor.
Kötü Amaçlı Yazılımın İzini Sürmek
Kurbanlara sunulan dosyalar arasında, aynı sunucuda barındırılan bir toplu işlem komut dosyasına (.BAT) işaret eden bir kısayol belgesi (.LNK) bulunuyor. Bu komut dosyası etkinleştirildiğinde, ek kötü amaçlı işlemler tetikleniyor. Ne yazık ki, araştırmacılar kampanyayı analiz etmeye başladığında sunucu kapatıldığı için, saldırganların ne tür bir kötü amaçlı yazılım dağıttığını bilmek mümkün olmadı.
Güvenlik Önerileri
Bu tehdidi azaltmak için, kullanıcılar search-ms/search URI protokol işleyicilerini devre dışı bırakabilirler. Ayrıca, gelen ekli e-postalara dikkat edilmesi önemlidir. Araştırmacılar, "Kullanıcılar giderek daha karmaşık bir tehdit ortamında gezinmeye devam ederken, sürekli eğitim ve proaktif güvenlik stratejileri, bu tür aldatıcı taktiklere karşı korunmada çok önemlidir" sonucuna vardı.
