HaberlerSiber GüvenlikSiber suçlular kötü amaçlı yazılım yaymak için sağlık paniğini kullanıyor

Siber güvenlik firması Proofpoint'e göre suçlular kimlik avı e-postalarında sağlık bilgilerini kullanarak insanların duygularını kullanıyor.
11 Mart 2020402

Siber suçlular, COVID-19 Coronavirus sonrasında sağlık korkularından hızla para kazanmak için kötü niyetli kimlik avı saldırılarını yaymak için sahte HIV testi sonuçlarını kullanıyor.

Siber suçlular kötü amaçlı yazılım yaymak için sağlık paniğini kullanıyor

Siber saldırganların Venderbit Tıp adını verdiği sözde tıp merkezi, ‘Tıbbi analizin test sonucu’ konu satırına sahip mağdurlara e-posta gönderiyor. HIV sonuçları elbette sahte. Eki tıklayan kurbanların gerçekten uyguladığı şey ise cihazlarını Koadic adlı kötü amaçlı bir yazılım parçasına açmak oluyor.

Mağdurlar test sonuçlarını görüntülemek için bağlantıya tıkladıklarında TestResults.xlsb adlı kötü amaçlı bir Excel belgesi açar. Mağdur, belgede makroları etkinleştirirse Koadic kötü amaçlı yazılımı çalışıyor. Koadic uzaktan erişim truva atı (RAT) kurbanların hassas kişisel ve finansal verilerine erişebiliyor. Ayrıca programları çalıştırabiliyor.

Saldırganların sağlık, sigorta ve ilaç gibi endüstrilerin yanı sıra diğer sektörleri de hedef aldı. Proofpoint’e göre Çin, İran ve Rusya ile ilişkili birçok ulus devlet saldırganı bir noktada Koadic’i kullandı.

Birçok saldırgan, Coronavirus için iddia edilen yayınlanmamış tedaviler hakkındaki komplo teorisine dayalı korkulardan yararlanarak Coronavirüs üzerinden para kazanıyor. Şimdiye kadar Emotet, AgentTesla keylogger, NanoCore RAT ve AZORult bilgi içeren kötü amaçlı yazılımların tümü Coronavirus ile ilgili saldırılara katıldı.

Proofpoint’ten Sherrod DeGrippo, “Kullanıcıları sağlıkla ilgili e-postalara, özellikle sağlıkla ilgili hassas bilgilere sahip olduklarını iddia edenlere dikkatle davranmaya teşvik ediyoruz.” diyor.

Sherrod DeGrippo, “Sağlıkla ilgili hassas bilgiler genellikle güvenli mesajlaşma portalları, telefon veya yüz yüze kullanılarak güvenli bir şekilde iletilir. Sağlıkla ilgili hassas bilgilere sahip olduğunu iddia eden bir e-posta alırsanız, ekleri açmayın. Bunun yerine, tıbbi sağlayıcınızın hasta portalını doğrudan ziyaret edin, doktorunuzu arayın veya herhangi bir tıbbi tanı veya test sonucunu doğrudan doğrulamak için randevu alın.” uyarılarında bulunuyor.

Proofpoint ayrıca yakın zamanda GuLoader adında yeni bir kötü amaçlı yazılım keşfetti. Downloader genellikle kuruluşların BT sistemlerini açığa çıkarabilecek RAT’ları ve bilgi çalıcıları içeriyor.

Proofpoint, downloader’ın RAT’larının ve bilgi çalıcılarının Ajan Tesla/Origin Logger, FormBook, NanoCore RAT, Netwire RAT, Remcos RAT, Ave Maria/Warzone RAT ve Parallax RAT olduğunu söylüyor.