Rus siber suçlular Windows PC’lere kimlik avı saldırıları gerçekleştiriyor. Saldırı, işletim sistemine entegre bir Microsoft aracının kullanılmasına dayanıyor.
Kasım 2023 ile Şubat 2024 arasında APT28’deki Rus bilgisayar korsanları, Windows çalıştıran bilgisayarlarda büyük bir kimlik avı saldırısı düzenledi . Oldukça karmaşık olan siber saldırı, virüslü makinelerden kişisel verileri çalmayı amaçlıyor. Operasyon, IBM araştırmacıları tarafından yapılan bir araştırmada gün ışığına çıkarıldı.
İlk olarak, Forest Blizzard veya Fancy Bear olarak da bilinen siber suçlular , hedeflerine sahte bir e-posta gönderiyor. Casusluk konusunda uzmanlaşmış bilgisayar korsanları, Avrupa da dahil olmak üzere dünyanın çeşitli bölgelerinden hükümet kuruluşları ve STK’lar gibi görünüyorlar.
Bu e-postalara ek olarak bir PDF dosyası eşlik etmektedir . Belgede bilgisayar korsanları, kötü amaçlı web sitelerine yönlendiren URL bağlantılarını kullanıyorlar. Bu siteler, Windows işletim sistemindeki yerleşik Microsoft araçlarından, yani “search-ms:” URI protokol işleyicilerinden ve “search:” uygulama protokolünden yararlanacak şekilde tasarlanmış.
Windows’a entegre edilen “search-ms:”, cihazda kişiselleştirilmiş aramalar başlatarak, örneğin dosyaların veya bilgilerin kolayca bulunmasına olanak tanır. “Arama:” protokolü, Windows masaüstü arama uygulamasını etkinleştirerek bilgisayardaki içeriği bulmayı kolaylaştırır. Bu araçlar siteler veya uygulamalar tarafından kullanıcı deneyimini geliştirmek için kullanılabilir ancak bu senaryoda siber suçlular tarafından istismar edilmişlerdir.
Rus bilgisayar korsanları kötü amaçlı yazılımları dağıtmak için yöneticileri kullanıyor . Kurban, tuzağa düşürülen HTML bağlantılarına tıkladıktan sonra kendisini bilgisayar korsanlarının tam kontrolü altında uzak bir sunucuda arama yaparken buluyor. Daha sonra hedeften bilgisayarlarına başka bir PDF dosyası indirmesini isteyecekler.
Kötü amaçlı yazılımları gizleyen bu belgedir. Hedeflerin güvensizliğini gidermek için bilgisayar korsanları bazen devlet kurumları tarafından yayınlanan gerçek resmi belgeleri kullanır. Virüs, bilgisayara yerleştirildikten sonra bilgisayardaki tüm verileri titizlikle sızdıracaktır. IBM’in yürüttüğü araştırmaya göre siber suçlular Masepie, Oceanmap ve Steelhook gibi kötü amaçlı yazılımlar kullanıyor.
Bu, bilgisayar korsanlarının siber saldırılarını düzenlemek için bir Microsoft aracını ilk kez kullanmaları değil. Siber suçlular, fidye yazılımını yaymak için uygulamaların Windows cihazlardaki yükleme dosyalarından yüklenmesine, güncellenmesine veya kaldırılmasına olanak tanıyan bir protokol olan “ms-appinstaller“ı bir süreliğine ele geçirdi.
