HP, üç aylık HP Wolf Security Tehdit Öngörüleri Raporu’nu yayınladı ve ChromeLoader gibi tehdit aktörlerinin, korsan web sitelerinden popüler filmleri veya video oyunlarını indirmeye çalışan kullanıcıların Chrome tarayıcılarını ele geçirdiğini gösterdi.
HP Wolf Security, bilgisayarlardaki tespit araçlarından kaçan tehditleri izole ederek, hızla değişen siber suç ortamında siber suçlular tarafından kullanılan en son teknikler hakkında özel bir yeteneğe sahip.
HP Wolf Security müşterileri bugüne kadar 30 milyardan fazla e-posta ekine, web sayfasına tıklamış ve hiçbir ihlal bildirilmeden dosya indirdi.
Araştırmacılar, HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen verilere dayanarak şunları buldu:
- Shampoo Chrome uzantısını temizlemek zor: ChromeLoader zararlı yazılımını dağıtan bir saldırı, kullanıcıları Shampoo adlı kötü amaçlı bir Chrome uzantısını yüklemeleri için kandırıyor. Bu eklenti, kurbanın arama sorgularını kötü amaçlı web sitelerine ya da reklam kampanyaları aracılığıyla suç örgütüne para kazandıracak sayfalara yönlendirebiliyor. Kötü amaçlı yazılım oldukça kalıcı ve her 50 dakikada bir kendini yeniden başlatmak için Görev Zamanlayıcısı’nı kullanıyor.
- Saldırganlar güvenilir etki alanlarını kullanarak makro politikalarını atlıyorlar: Güvenilmeyen kaynaklardan gelen makrolar artık devre dışı bırakılmış olsa da HP, saldırganların güvenilir bir Office 365 hesabını ele geçirerek, yeni bir şirket e-postası oluşturarak ve kurbanlara Formbook bilgi hırsızı bulaştıran zararlı bir excel dosyası dağıtarak bu kontrolleri atlattığını gördü.
- Firmalar altta gizlenenlere dikkat etmelidir: OneNote belgeleri dijital karalama defterleri gibi davranabiliyor, böylece herhangi bir dosya içine eklenebiliyor. Saldırganlar bundan yararlanarak “buraya tıklayın” şeklideki sahte simgelerinin arkasına kötü amaçlı dosyalar yerleştiriyor. Sahte simgeye tıklandığında gizli dosya açılıyor ve kötü amaçlı yazılım çalıştırılarak saldırganların kullanıcıların makinelerine erişmesi sağlanıyor. Bu erişim daha sonra diğer siber suç gruplarına ve fidye yazılımı çetelerine satılabiliyor.
9
Qakbot ve IcedID gibi sofistike gruplar ilk olarak ocak ayında OneNote dosyalarına ChromeLoader gibi zararlı yazılım yerleştirdi. Artık siber suç pazarlarında bulunan ve kullanımı çok az teknik beceri gerektiren OneNote kitleriyle, kötü amaçlı yazılım kampanyaları önümüzdeki aylarda da devam edecek gibi görünüyor.
Rapor ayrıca, ChromeLoader gibi tehdit aktörleri Office formatlarından uzaklaştıkça, siber suç gruplarının e-posta ağ geçitlerini atlatmak için saldırı yöntemlerini çeşitlendirmeye devam ettiğini gösteriyor. Önemli bulgular şunlar:
- HP Wolf Security tarafından 1. çeyrekte durdurulan tehditler incelendiğinde, arşivler dördüncü çeyrekte de en popüler zararlı yazılım dağıtım türü oldu (yüzde 42).
- HTML kaçakçılığı tehditlerinde 1. çeyrekte 4. çeyreğe kıyasla yüzde 37 puanlık bir artış oldu.
- PDF tehditlerinde 1. çeyrekte 4. çeyreğe kıyasla 4 puanlık bir artış oldu.
- Makro çalıştırmanın daha zor hale gelmesi nedeniyle Excel zararlı yazılımlarında 1. çeyrekte 4. çeyreğe göre 6 puanlık bir düşüş (yüzde 19’dan yüzde 13’e) yaşandı.
- HP Sure Click tarafından tespit edilen e-posta tehditlerinin yüzde 14’ü 2023 yılının ilk çeyreğinde bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
- Birinci çeyrekte en büyük tehdit vektörü e-posta (yüzde 80) olurken onu tarayıcı indirmeleri (yüzde 13) takip etti.
