Sahte Tebrik Kartlarıyla Gelen Tehlike: 6 Aydır Süren Phishing Kampanyası RMM Araçları Kullanıyor Windows

Sahte Tebrik Kartlarıyla Gelen Tehlike: 6 Aydır Süren Phishing Kampanyası RMM Araçları Kullanıyor

Altı aydır süren bir phishing kampanyası, sahte e-kartlarla kullanıcıları kandırarak meşru RMM yazılımlarını yükletiyor.

Forescout tarafından yayınlanan yeni bir rapora göre, SeasonalInvite adı verilen bir phishing kampanyası, en az Ocak 2026'dan bu yana aktif ve Haziran sonuna kadar da devam etti. Kampanya, Windows ve macOS kullanıcılarını sahte elektronik tebrik kartları (eCard) aracılığıyla hedef alarak, meşru uzaktan yönetim ve izleme (RMM) yazılımlarını yüklemelerini sağlıyor. Saldırganlar, takvimdeki özel günleri kullanarak sürekli değişen tuzaklar hazırlıyor; kışın vergi ve Sosyal Güvenlik temaları, ilkbaharda Sevgililer Günü, Paskalya ve bahar davetiyeleri gibi.

Araştırmacılar, phishing e-postalarında ve zehirli arama sonuçlarında kullanılan 959 farklı alan adı tespit etti. Kurbanlar, bir trafik dağıtım sistemi (TDS) tarafından filtrelendikten sonra, BlueMountain adlı meşru bir tebrik kartı servisini taklit eden bir sayfaya yönlendiriliyor. Sayfada bir yükleme animasyonu gösteriliyor ve üç saniye sonra otomatik olarak işletim sistemine uygun bir yükleyici indiriliyor.

Saldırganlar, ConnectWise ScreenConnect, LogMeIn Resolve, Kaseya ve Alman aracı O&O Syspectr olmak üzere dört ticari olarak imzalanmış RMM ürününü kötüye kullanıyor. Bu yükleyiciler gerçek ve geçerli bir şekilde imzalandığından, geleneksel kötü amaçlı yazılımları engelleyen güvenlik kontrollerini geçebiliyor. Windows'ta, batch ve VBScript dropper'lar bir yükleyici indirip kendilerini yeniden başlatarak Kullanıcı Hesabı Denetimi (UAC) istemi oluşturuyor; böylece kurban, ayrıcalıklı kurulumu onaylamak zorunda kalıyor.

Uzmanların Görüşleri

macOS tarafında ise saldırı iki aşamalı: İmzalı bir Kaseya paketi, ayrı bir config.data dosyasıyla birlikte sunuluyor. Bu dosya, katılımı saldırganın sunucusuna yönlendiriyor ve yönetilen hizmet sağlayıcılar için tasarlanmış gözetimsiz dağıtım özelliğini kötüye kullanıyor. Her bir sahte sayfa ayrıca ziyaretçinin IP adresini, şehrini ve tarayıcı bilgilerini toplayarak bir arka uca gönderiyor; böylece saldırgan, sayfaya ulaşan herkesin kaydını tutuyor.

Önemli Gelişmeler

Forescout, phishing sayfalarında yapay zeka tarafından oluşturulduğunu düşündüren işaretler buldu. Sayfalarda emoji ön ekli görev yorumları ve 'birinci parçacık' ile 'ikinci parçacık'ın birleştirilmesine atıflar yer alıyor. Araştırmacılar, saldırganın büyük olasılıkla bir büyük dil modeli (LLM) kullanarak kod parçalarını tek bir sayfada birleştirdiğini; işletim sistemi algılama, Telegram tabanlı raporlama ve animasyon mantığı gibi özellikleri ekleyerek yeni varyantlar üretme maliyetini düşürdüğünü değerlendiriyor.

TDS'nin daha büyük, paylaşılan bir platform olduğu anlaşılıyor. Kapı sayfası parmak iziyle eşleşen sayfalar için yapılan bir arama 2658 URL döndürdü; bunların çoğu otomatik tarayıcılara zararsız görünürken, gerçek kullanıcıları sessizce yönlendiriyor. Tümü SeasonalInvite parmak izini taşımadığından, Forescout sistemin aynı anda birden fazla ilgisiz phishing operasyonuna hizmet ediyor olabileceğini belirtti.

Microsoft da Mart ayında aynı operasyonun vergi temalı tuzaklar kullandığını belgelemişti. Forescout, kuruluşlara onaylanmış bir RMM araçları envanteri tutmalarını ve bunların dışındaki araçlara karşı uyarı vermelerini, e-posta filtrelemeyi mevsimsel temalara karşı güçlendirmelerini ve çalışanlarına gerçek bir e-kartın asla uzaktan destek yazılımı yüklemeyi veya bir yükseltme istemini onaylamayı gerektirmediği konusunda eğitim vermelerini öneriyor.

Kaynak: infosecurity-magazine.com

Paylaş: