Haber / Alper Yetgün
2024 yılının Mayıs ayında Polonya, Romanya ve İtalya'daki Küçük ve Orta Ölçekli İşletmeleri (KOBİ) hedef alan ve çeşitli kötü amaçlı yazılım ailelerini dağıtan dokuz yaygın kimlik avı kampanyasını inceleyen Eset Araştırmacıları, saldırganların bir önceki yıla kıyasla dağıtım aracı olarak AceCryptor'dan ModiLoader'a geçiş yaptığını tespit ederek, bu geçişin daha fazla kötü amaç içerdiğini bildirdi.
Genel olarak tüm kampanyalar benzer bir senaryo izlendiğine işaret edilirken zararları yazılımların izlediği süreç hakkında şu bilgiler verildi:
“Hedeflenen şirket, iş teklifi içeren bir e-posta mesajı alıyor. H2 2023 kimlik avı kampanyalarında olduğu gibi saldırganlar, kampanya başarı oranlarını artırmak için tercih ettikleri teknik olarak mevcut şirketleri ve çalışanlarını taklit ediyorlar. Bu şekilde, potansiyel kurban, olağan kırmızı bayrakları arasa bile fark etmeyebiliyor çünkü e-posta olabildiğince meşru görünüyor. Tüm kampanyalardan gelen e-postalar, potansiyel kurbanın e-posta metnine dayanarak açmaya teşvik edildiği kötü amaçlı bir ek içeriyor. Dosyanın kendisi ya bir ISO dosyası ya da ModiLoader (ModiLoader, kötü amaçlı yazılım indirmek ve başlatmak gibi basit bir görevi olan bir Delphi indiricisidir) çalıştırılabilir dosyasını içeren bir arşiv. Kampanyalardan ikisinde ModiLoader örnekleri, bir sonraki aşama kötü amaçlı yazılımı bir Macar şirketine ait güvenliği ihlal edilmiş bir sunucudan indirecek şekilde yapılandırılmıştı. Kampanyaların geri kalanında ModiLoader bir sonraki aşamayı Microsoft'un OneDrive bulut depolama alanından indirmişti.”