Siber Suçlulardan Sıra Dışı Bir Yöntem: Mors Kodunu da Kullandılar!
Sonunda bu da oldu; siber suçlular, dosyalarını gizlemek için şifreleme sırasında Mors kodunu da kullandılar...
Microsoft, fark edilmemek için Mors
kodunun kullanılması da dahil olmak üzere gelişmiş
taktikler kullanan bir kimlik avı (phishing) kampanyası hakkında
yeni ayrıntıları yayınladı. Microsoft Security
Intelligence araştırmacıları tarafından bir yıl boyunca
yürütülen inceleme sırasında, kampanyanın arkasındaki siber
suçlular çalışmalarının tespit edilmesini önlemek için
ortalama 37 günde bir gizleme ve şifreleme
mekanizmalarını değiştirdi.
Kampanyanın kendisi, daha sonra çeşitli mekanizmalar kullanılarak kodlanan şifreleri çalmak için kullanılan JavaScript dosyaları dahil olmak üzere çeşitli bölümlere ayrılmış fatura temalı bir XLS.HTML eki kullanmaktaydı. Microsoft'un incelemesi boyunca saldırganlar, düz metin HTML kodu kullanmaktan, yeni bir blog gönderisine göre bu saldırı bölümlerini gizlemek için Mors kodu gibi bazı eski ve olağandışı şifreleme yöntemleri de dahil olmak üzere birden çok kodlama tekniği kullanmaya geçti.
Ayrıca fark edilme ihtimalini azaltmak için, kampanyada kullanılan bazı kod bölümleri ekin kendisinde bile mevcut değildi ve bunun yerine bir dizi açık dizinde bulunuyordu.
Bu XLS.HTML kimlik avı kampanyası, sahte ödeme bildirimleri biçiminde mali bağlantılı ticari işlemlerin görünümünü taklit eden e-postalar oluşturmak için sosyal mühendisliği kullanmaktaydı.
Kampanyanın birincil hedefi, kimlik bilgilerini
toplamak olsa da ve başlangıçta kullanıcı adları ve
şifreleri toplanırken, daha yakın tarihli yinelemesinde,
arkasındaki siber suçluların daha sonraki sızma girişimleri için
ilk giriş noktası olarak kullandığı IP adresleri ve konumlar gibi
diğer bilgileri de toplamaya başladığı görüldü.
Ek dosyasında kullanıcıların bir Excel dosyası beklemelerini söyleyen XLS kullanılmasına rağmen, ek dosyası açıldığında potansiyel kurbanları sahte bir Microsoft Office 365 oturum açma sayfasına götüren bir tarayıcı penceresine götürüyor. Sayfada karşılaşılan bir iletişim kutusu ise, kullanıcıların Excel belgesine erişimleri sözde zaman aşımına uğradığı için yeniden oturum açmalarını istiyor. Ancak, bir kullanıcı bu iletişim kutusuna parolasını girdiğinde, arka planda çalışan saldırgan kontrollü bir kimlik avı kiti kimlik bilgilerini toplarken, gönderilen parolanın yanlış olduğunu söyleyen sahte bir not ile karşılaşıyor.
Bu kampanyayı diğerlerinden ayıran temel özelliği ise arkasındaki siber suçluların, güvenlik kontrollerini atlatacak şekilde HTML dosyasını kodlamak için büyük çaba sarf etmesi olduğu söylenebilir. Her zaman olduğu gibi, kullanıcıların özellikle bir dosyaya erişmek veya makroları etkinleştirmelerini istemek için çevrimiçi bir hizmette oturum açmalarını istediklerinde, bilinmeyen gönderenlerden gelen e-postaları açmaktan kaçınmaları tavsiye ediliyor.