HP, kötü niyetli PDF ve Office saldırılarındaki artış konusunda uyarırken Office makrolarının devam ettiğine dikkat çekiyor.
HP, saldırganların kullanıcıları etkilemek ve uç noktalara virüs bulaştırmak için yenilikçi yollar bulmaya devam ettiğini gösteren üç aylık HP Wolf Security Tehdit Tespitleri Raporu‘nu yayınladı. HP Wolf Security tehdit araştırma ekibi, aşağıdakiler de dahil olmak üzere birkaç önemli kampanyayı ortaya çıkardı:
- DarkGate kampanyası saldırıları keskinleştirmek için reklam araçlarını kullanıyor: OneDrive hata mesajları gibi görünen kötü amaçlı PDF ekleri, kullanıcıları popüler bir reklam ağında barındırılan sponsorlu içeriğe yönlendiriyor. Bu da DarkGate kötü amaçlı yazılımına yol açıyor.
- Tehdit aktörleri, reklam hizmetlerini kullanarak hangi yemlerin tıklama yarattığını ve en çok kullanıcıyı etkilediğini analiz edebiliyor ve maksimum etki için kampanyaları iyileştirmelerine yardımcı oluyor.
- Tehdit aktörleri, sandbox’ların zararlı yazılımları taramasını önlemek ve yalnızca insanların tıklamasını sağlayarak saldırıları durdurmak için CAPTCHA araçlarını kullanabiliyor.
- DarkGate, siber suçlulara ağlara arka kapı erişimi sağlayarak kurbanları veri hırsızlığı ve fidye yazılımı gibi risklere maruz bırakıyor.
- Makrolardan Office istismarlarına geçiş: 4. çeyrekte, elektronik tabloları içeren saldırı girişimlerinin en az yüzde 84’ü ve Word belgelerini içeren saldırı girişimlerinin yüzde 73’ü Office uygulamalarındaki güvenlik açıklarından yararlanmaya çalıştı ve makro özellikli Office saldırılarından uzaklaşma eğilimi devam ediyor. Ancak makro özellikli saldırılar, özellikle Agent Tesla ve XWorm gibi ucuz emtia kötü amaçlı yazılımlardan yararlanan saldırılar için hala bir yere sahip.
- PDF zararlı yazılımları artıyor: 4. çeyrekte analiz edilen zararlı yazılımların yüzde 11’i zararlı yazılım sunmak için PDF kullanırken, bu oran 2023’ün 1. ve 2. çeyreklerinde sadece yüzde 4’tü. Dikkate değer bir örnek, kullanıcıları Ursnif kötü amaçlı yazılımını yüklemeleri için kandırmak amacıyla sahte bir paket teslimatı PDF’si kullanan bir WikiLoader saldırısıydı.
- Discord ve TextBin zararlı dosyaları barındırmak için kullanılıyor: Tehdit aktörleri kötü amaçlı dosyaları barındırmak için yasal dosya ve metin paylaşım sitelerinden faydalanıyor. Bu sitelere genellikle kurumlar güveniyor ve bu da sitelerin zararlı yazılımlara karşı tarayıcılardan kaçınmasına yardımcı olarak saldırganların tespit edilmeden kalma şansını artırıyor.
HP Wolf Security tehdit araştırma ekibinde Kıdemli Zararlı Yazılım Analisti olan Alex Holland şu yorumu yapıyor:
“Siber suçlular kafamızın içine girme ve nasıl çalıştığımızı anlama konusunda ustalaşıyor. Örneğin, popüler bulut hizmetlerinin tasarımı her zaman geliştiriliyor, bu nedenle sahte bir hata mesajı göründüğünde, bir kullanıcı bunu daha önce görmemiş olsa bile, o anda herhangi bir endişe duymuyor. GenAI’nin (üretken yapay zeka) çok az maliyetle daha da ikna edici kötü niyetli içerikler üretmesiyle, gerçeği sahteden ayırt etmek daha da zorlaşacak.”
Bilgisayarlardaki algılama araçlarından kaçan tehditleri izole eden HP Wolf Security, hızla değişen siber suç ortamında siber suçlular tarafından kullanılan en son teknikler hakkında özel bir anlayışa sahip. HP Wolf Security müşterileri bugüne kadar 40 milyardan fazla e-posta ekine, web sayfasına tıklamış ve hiçbir ihlal bildirilmeden dosya indirmiş bulunuyor.
Rapor, siber suçluların güvenlik politikalarını ve tespit araçlarını atlatmak için saldırı yöntemlerini nasıl çeşitlendirmeye devam ettiğini detaylandırıyor. Diğer bulgular ise şunlar:
- HP tarafından analiz edilen zararlı yazılımların yüzde 30’unda kullanılan arşivler, yedinci çeyrekte de en popüler zararlı yazılım dağıtım türü oldu.
- HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az yüzde 14’ü bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
- Dördüncü çeyrekteki en önemli tehdit vektörleri e-posta (yüzde 75), tarayıcılardan indirme (yüzde 13) ve USB sürücüler (yüzde 12) gibi diğer yöntemler oldu.
HP Inc. Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt şu yorumu yapıyor:
“Siber suçlular, bir işletmenin pazarlama kampanyasını yönetmek için kullanabileceği araçların aynısını zararlı yazılım kampanyalarını optimize etmek için kullanıyor ve kullanıcının tuzağa düşme olasılığını artırıyor. Güçlü kaynaklara sahip tehdit aktörlerine karşı korunmak isteyen kurumların sıfır güven ilkelerini takip etmesi, e-posta eklerini açma, bağlantılara tıklama ve tarayıcı indirmeleri gibi riskli faaliyetleri izole etmesi ve kontrol altında tutması gerekiyor.”
HP Wolf Security*, kullanıcıları korumak için riskli görevleri uç noktada çalışan yalıtılmış, donanımla güçlendirilmiş sanal makinelerde üretkenliklerini etkilemeden çalıştırıyor. Ayrıca, virüs bulaşma girişimlerinin ayrıntılı izlerini de yakalıyor. HP’nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatabilen tehditleri azaltıyor ve izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor.