Kaspersky, yeni bir e-posta spam kampanyası tespit etti
Çeşitli kuruluşlara yönelik ortaya çıkarılan yeni spam e posta kampanyası, gerçek şirketler tarafından gönderilmiş süsü verilen yüksek nitelikli sahte mesajlardan oluşuyor
Kaspersky açıklamasına göre, satıcılardan veya diğer şirketlerden gelen e-postaları taklit eden saldırganlar, Agent Tesla hırsızlık yazılımıyla kurumlardan sisteme giriş verilerini çalmaya çalıştı.
Türkiye, saldırıdan etkilenen kullanıcı sayısı açısından ilk 5 ülke arasında yer aldı. Mayıs-ağustos döneminde yaklaşık 13 bin 326 kullanıcı, bu hırsızlık girişiminin muhatabı oldu.
Çeşitli kuruluşlara yönelik ortaya çıkarılan yeni spam e-posta kampanyası, gerçek şirketler tarafından gönderilmiş süsü verilen yüksek nitelikli sahte mesajlardan oluşuyor.
Saldırganlar, amaçlarını yerine getirmek için kimlik doğrulama verilerini, ekran görüntülerini, web kameralarından ve klavyelerden alınan verileri çalmak için tasarlanmış, iyi bilinen bir Truva atı olan Agent Tesla hırsızlık yazılımını kullandı. Bu kötü amaçlı yazılım, e-postaya eklenmiş halde kendi kendine açılan bir arşiv şeklinde dağıtıldı.
Bir e-posta örneğinde Malezyalı potansiyel müşteri gibi davranan biri, alıcıdan bazı müşteri gereksinimlerini gözden geçirmesini ve istenen belgeleri göndermesini talep etmek için tuhaf bir İngilizce kullanıyor. Genel format kurumsal yazışma standartlarına uygun, gerçek şirkete ait bir logo ve gönderen bilgilerini içeren imza gayet düzgün görünüyor. Dile dair hatalar da ana dili İngilizce olmayan bir göndericiye kolayca atfedilebilecek türden. e-postayla ilgili tek şüpheli durum, gönderici adresi olan "newsletter@trade***.com"un satın alma için değil, genellikle haberler için kullanılan bir "bülten" olarak etiketlenmiş olması. Ayrıca gönderenin alan adı, logodaki şirket adından farklı.
Bir diğer e-postada sözde bir Bulgar müşteri, anlaşmanın ayrıntılarını öğrenmek için bazı ürünlerin ve tekliflerin mevcudiyeti hakkında bilgi istiyor. Talep edilen ürün listesinin ekte olduğu söyleniyor. Göndericinin şüpheli mail adresi ise şirketle görünüşte hiçbir ilgisi olmayan, hatta Bulgar bile değil, Yunan alan adına sahip.
Mesajlar sınırlı bir IP adresi aralığından geliyor ve ekteki dosyalarda hep aynı kötü amaçlı yazılım olan Agent Tesla yer alıyor. Bu da araştırmacıların tüm bu mesajların tek bir hedefli kampanyanın parçası olduğunu düşünmesini sağlıyor.
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Roman Dedenok, şunları kaydetti:
"Agent Tesla, bulaştığı kurumlardan şifreleri ve diğer kimlik bilgilerini almak için kullanılan oldukça popüler bir hırsızlık yazılımı. 2014'ten beri varlığı biliniyor ve spam gönderenler tarafından toplu saldırılarda yaygın olarak kullanılıyor. Ancak bu kampanyada siber suçluların hedefli saldırılara özgü teknikleri benimsediğini gördük. Gönderilen e-postalar özellikle ilgili şirket için özel olarak tasarlanmıştı ve meşru mesajlardan neredeyse hiç farkları yok gibiydi."