Sahte Tebrik Kartlarıyla Yayılan RMM Araçları: Altı Aylık Phishing Kampanyası Siber Güvenlik

Sahte Tebrik Kartlarıyla Yayılan RMM Araçları: Altı Aylık Phishing Kampanyası

Altı aydır süren bir phishing kampanyası, sahte elektronik tebrik kartları (eCard) kullanarak Windows ve macOS kullanıcılarını meşru uzaktan izleme ve

Forescout araştırmacıları, SeasonalInvite adını verdikleri bir phishing kampanyasının en az Ocak 2026'dan beri aktif olduğunu ve Haziran 2026 sonuna kadar yük taşımaya devam ettiğini duyurdu. Kampanya, mevsimsel temalara dayalı sürekli değişen yemler kullanarak kullanıcıları kandırıyor. Kış aylarında vergi ve Sosyal Güvenlik temaları öne çıkarken, ilkbaharda Sevgililer Günü, Paskalya ve bahar davetiyeleri gibi konular işleniyor. Araştırmacılar, phishing e-postalarında ve zehirli arama sonuçlarında kullanılan 959 farklı alan adı tespit etti.

Saldırganlar, trafik dağıtım sistemi (TDS) kullanarak potansiyel kurbanları filtreliyor. Belirli kriterleri karşılayan kullanıcılar, BlueMountain tebrik kartı hizmetini taklit eden bir sayfaya yönlendiriliyor. Sayfada üç saniyelik bir yükleme animasyonu gösterildikten sonra, işletim sistemine uygun bir RMM yükleyicisi otomatik olarak indiriliyor. Bu yükleyiciler, ConnectWise ScreenConnect, LogMeIn Resolve, Kaseya ve O&O Syspectr gibi ticari olarak imzalanmış meşru araçlar olduğu için güvenlik yazılımları tarafından tespit edilmiyor.

Windows sistemlerinde, batch ve VBScript dropper'lar yükleyiciyi indirip User Account Control (UAC) onayı istemek için kendilerini yeniden başlatıyor. Bu sayede kurban, ayrıcalıklı kurulumu onaylamak zorunda kalıyor. macOS tarafında ise saldırı iki aşamalı: imzalı bir Kaseya paketi, ayrı bir config.data dosyasıyla birlikte sunuluyor. Bu dosya, yönetilen hizmet sağlayıcılar için tasarlanmış katılımsız dağıtım özelliğini kötüye kullanarak kurulumu saldırganın sunucusuna yönlendiriyor.

Her açılış sayfası, ziyaretçinin IP adresi, şehir ve tarayıcı bilgilerini sessizce toplayıp bir backend sunucuya gönderiyor. Bu, saldırganlara sayfaya erişen herkesin kaydını tutma imkanı sağlıyor. Kampanyanın dikkat çekici bir özelliği de kullanılan kodun yapay zeka (AI) tarafından üretilmiş olabileceğine işaret etmesi. Phishing sayfalarında emoji ön ekli görev yorumları ve 'birinci snippet' ile 'ikinci snippet'in birleştirilmesi gibi ifadeler bulunuyor.

Önemli Gelişmeler

Forescout, saldırganın büyük olasılıkla bir büyük dil modeli (LLM) kullanarak kod parçalarını birleştirip işletim sistemi algılama, Telegram tabanlı raporlama ve animasyon mantığına sahip bir açılış sayfası oluşturduğunu değerlendiriyor. Bu, yeni varyantlar üretme maliyetini düşürüyor. TDS'nin daha büyük, paylaşımlı bir platform olduğu düşünülüyor; gate-page parmak iziyle eşleşen sayfaların 2658 URL bulunması, sistemin aynı anda birden fazla ilgisiz phishing operasyonuna hizmet edebileceğini gösteriyor.

Microsoft da Mart 2026'da aynı operasyonu vergi temalı yemlerle belgelemişti. Forescout, kuruluşlara onaylı RMM araçları listesi tutmalarını, bunlar dışındaki araçlara karşı uyarı vermelerini, e-posta filtrelemeyi mevsimsel temalara karşı güçlendirmelerini ve çalışanlarına gerçek bir tebrik kartının asla uzaktan destek yazılımı yüklemeyi veya ayrıcalık yükseltme onayı istememesi gerektiği konusunda eğitim vermelerini öneriyor.

Kaynak: infosecurity-magazine.com

Paylaş: