Web sitesi sahipleri, buzlu bankacılık kötü amaçlı yazılımlarını dağıtmak için yandex formlarını kullanan sahte telif hakkı ihlali şikayetleri ile hedefleniyor.
Bir yılı aşkın bir süredir, TA578 olarak izlenen tehdit aktörleri, alıcıları rahatsız edici materyalin bir raporunu indirmeye ikna etmek için yasal tehditler göndermek için bir web sitesinin iletişim sayfasını kullandıkları bu saldırıları yürütüyorlar.
Bu raporların, izinsiz kullanılan DDOS saldırılarının veya telif hakkıyla korunan materyallerin kanıtını içerdiği, bunun yerine bir hedefin cihazını Bazarloader, Bumblebee ve IcedID dahil olmak üzere çeşitli kötü amaçlı yazılımlarla enfekte ettiği iddia ediliyor.
Bu hafta, BleepingComputer, Zoho'dan gelmiş gibi davranan ve telif hakkıyla korunan görüntülerini kullandığımızı belirten "Telif Hakkı İhlali" tehdidinin yeni bir versiyonunu aldı.
"Merhaba, Web siteniz veya kuruluşunuzun ev sahipliği yaptığı bir web sitesi, şirketimizin (Zoho Inc.) sahip olduğu telif hakkıyla korunan bir görüntüleri ihlal ediyor.
Www.BleepingComputer.com adresinde kullandığınız resimlerimiz ve telif haklarımızın kanıtını almak için önceki yayımızla bu rapora göz atın.
Şimdi indirin ve bunu kendiniz kontrol edin: https://forms.yolandex.com/u/62c3f14d59f1f7ef4295d2c1/success/?0=742998805032103091
17 ABD'nin altında haklarımızı kasten ihlal ettiğini düşünüyorum. Bölüm 101 et seq. ve dijitalin 504 (c) (2) bölümünde belirtildiği gibi 130.000 $ 'a kadar yasal hasardan sorumlu olabilir.
Millennium Telif Hakkı Yasası (”DMCA”).
Bu mesaj resmi bildirimdir. Yukarıda belirtilen ihlal malzemelerinin kaldırılmasını arıyorum. Lütfen bir şirket olarak not alın, DMCA bu mektubu aldıktan sonra telif hakkıyla korunan materyallere erişimi kaldırmanızı veya sonlandırmanızı ister. Yukarıda belirtilen telif hakkıyla korunan içeriğin kullanımını durdurmazsanız, size karşı bir mahkeme eylemi başlatılacaktır.
Yukarıda ihlal edildiği iddia edilen telif hakkıyla korunan materyallerin kullanımının yasal telif hakkı sahibi, yasal acentesi veya yasa tarafından onaylanmadığına dair güçlü bir inanç inancım var.
Yansıtma sonucu altında, bu mesajdaki bilgilerin doğru olduğunu ve vesileyle ihlal edildiği iddia edilen münhasır ve yasal bir hak sahibi adına harekete geçme yetkisi olduğumu beyan ediyorum.
Saygılarımla, Hıristiyan Brdakic Resmi memur Zoho, Inc. zoho.com 07/06/2022 "
Bununla birlikte, bu kampanyadan farklı olan şey, geçmişte olduğu gibi iddia edilen "raporlarını" barındırmak için Google Drive veya Google sitelerini kullanmak yerine, tehdit aktörlerinin artık Yandex formlarını kullanmalarıdır.
Yandex Forms, kullanıcıların özelleştirilmiş çevrimiçi formlar oluşturmasına izin veren ancak tehdit aktörleri tarafından kimlik avı açılış sayfaları oluşturmak için de kullanılabilen ücretsiz bir hizmettir.
Bir kişi Forms.Yandex.com bağlantısını tıkladığında, telif hakkı şikayetinde, "Dosya 'Çalıntı Görüntüler Kanıtı' indirilmeye hazır olduğunu" belirten bir web sayfasına getirilir.
Kısa bir süre sonra Yandex formu, Yandax formundaki gömülü bir firebasestorage.googleapis.com bağlantısından 'stoleen_imagesevidence.iso' adlı bir ISO dosyasını indirecektir.
ISO dosyası, Windows 10 ve Windows 11'de açıldığında yeni bir sürücü mektubu olarak monte edilecek bir disk görüntü dosyası formatıdır, böylece ekteki dosyalara erişebilirsiniz.
ISO dosyaları, Web'in işaretinin içerilen dosyalara yayılmasını atladığı için kimlik avı saldırılarında popüler bir ek haline geldi ve pencereleri açmaya çalıştığınızda riskli oldukları konusunda uyarmamasına neden oluyor.
ISO dosyasına çift tıkladıktan sonra, aşağıda gösterildiği gibi bir 'belge' klasörü ve rastgele adlandırılmış bir DLL dosyası gibi görünen yeni bir sürücü mektubu açılır.
Ancak, bu belgeler klasörü aslında, çift tıklandığında, aşağıdaki kısayolun özelliklerinde gösterildiği gibi Rundll32.exe komutu kullanılarak kötü amaçlı bir DLL dosyasının yürütülmesine neden olacak bir Windows kısayoludur.
Bu DLL, Windows kimlik bilgilerini çalabilen ve Cobalt Strike Beacons gibi ağlara ilk erişime izin vermek için ek yükler dağıtabilen modüler bir bankacılık truva atı olan buzlu için bir yükleyicidir. Bu ikincil yükler genellikle şu anda ihlal edilen ağda tam gelişmiş fidye yazılımı saldırılarına yol açar.
İletişim formu sunumundan görüldüğü gibi, bu telif hakkı şikayetleri oldukça ikna edici olabilir ve mesaja aciliyet yaratmak için yasal işlem tehditlerini kullanabilir. Ne yazık ki, bu aciliyet genellikle rüzgara dikkat eden ve kötü amaçlı dosyaları açan insanların yol açmasına yol açar.
Bu nedenle, bu gibi e -postalar alırken her zaman sakin kalmak ve bilgisayarınızda açmadan önce Virustotal kullanarak bilinmeyen veya şüpheli dosyaları taramak önemlidir.
Yeni gizli yörünge kötü amaçlı yazılım, Linux cihazlarından verileri çalıyor
Microsoft, yüzlerce Windows Networks'te Raspberry Robin solucanını bulur
Microsoft Exchange sunucuları dünya çapında yeni kötü amaçlı yazılımlarla geri yüklendi
Xfiles Info-Renting Malware, Follina Teslimatı için Destek Katar
Google, bir Conti fidye yazılımı erişim brokerinin taktiklerini ortaya çıkarır
Kaynak: Bleeping Computer