Trickbot Aktörleri Slack ve BaseCamp Kullanıcılarını Hedefliyor

Sophos’un yayınladığı rapora göre, Trickbot botnet ağının arkasındaki tehdit aktörlerinin, Slack ve BaseCamp kullanıcılarına malware loader içeren oltalama e-postaları ile hedef altına aldıkları tespit edilmiştir.

Saldırganlar, zararlı yazılım kodlarını Slack gibi bulut hizmeti sağlayan servislere geçici olarak ekledikten sonra kullanıcıları o kodlara yönlendiren zararlı yazılım içeren linkler servis ediyor. Andrew Brandt’ın açıklamasına göre; bu yasal sunucularda geçici olarak barındırılan zararlı kodları indirmeye kullanıcıları ikna etmek amacıyla, zararlı e-postalar içerisine hem alıcının hem de alıcının işvereninin isimlerinin eklendiğini ifade etti. Hedef kullanıcı, zararlı e-posta içerisindeki dokümanı ya da linki açmaya ikna olduğu zaman, bir çeşit malware ulaştırma mekanizması olan BazarLoader isimli zararlının sisteme hızlıca bulaştığı tespit edilmiştir. Tehdit aktörleri bu saldırılarla özellikle büyük kurumları hedeflerken, gelecekteki muhtemel fidye yazılımı saldırılarının önünü açmak için BazarLoader gibi zararlı yazılımlar ile sistemleri enfekte etmektedirler.

Araştırmacılar ayrıca aynı tehdit aktörlerinin oluşturduğu “BazarCall” adlı ikinci, daha karmaşık yapıda yeni bir kampanya tespit ettiler. Gönderdikleri spam e-postası içerisinde verdikleri mesajda, alıcının ücretsiz deneme süresinin sona erdiğini iddia ederek, kullanıcının yenileme ücreti ödememesi için arayabileceği bir telefon numarası bırakıyorlar. Numarayı arayan kullanıcılara bir URL verilerek ziyaret etmeleri hedefleniyor. Ayrıca bu tip spam e-postaları istemiyorlarsa abonelikten çıkabilmeleri için yönlendirdikleri URL’de profesyonelce tasarlanmış bir web sitesi içerisindeki SSS bölümüne gömülmüş “Abonelikten Çık” butonuna yönlendiriyorlar. Abonelikten çıkacağını düşünerek tıklayan kullanıcı, sistemine BazarLoader’ın bulaşmasına sebep olan bir Office belgesi ya da Excel tablosu indiriyor. Kullanıcı bu ofis belgelerini açtığı anda BazarLoader sistemine hızlı bir şekilde yerleşiyor. Araştırmacılar, komuta ve kontrol (C2) sunucularının altyapısı ve Trickbot’un injectDLL modülüne benzer şekilde çalışan süreçlerden dolayı kampanyalar arasındaki ilişkiyi kurmuşlardır. Henüz geliştirilme aşamasında olduğu düşünülen BazarLoader zararlı yazılımının ileride yüksek değerli işletmeleri hedeflemeye yarayacak yeni bir yöntem olduğunu ifade etmişlerdir.

Kaynak: https://www.infosecurity-magazine.com/news/suspected-trickbot-target-slack/

About The Author

Reply