Seyahat Tutkunlarına Tuzak: Sahte Rezervasyon Linkleriyle Gelen Tehdit Yazılım

Seyahat Tutkunlarına Tuzak: Sahte Rezervasyon Linkleriyle Gelen Tehdit

TA558 siber grubu, sahte rezervasyon linkleriyle seyahat severleri hedef alıyor. ISO ve RAR dosyalarıyla yayılan tehlikeli yazılımlara dikkat!

Seyahat planları yapmak, tatil heyecanıyla dolup taşarken bir de siber saldırganların tuzağına düşmeyin. Uzun süredir aktif olan TA558 isimli tehdit grubu, COVID-19 kısıtlamalarının gevşemesiyle birlikte yeniden hortladı. Artan seyahat ve otel rezervasyonlarını fırsat bilen bu grup, sahte rezervasyon e-postaları göndererek kullanıcıları kandırıyor. E-postalardaki bağlantılara tıklayanlar, farkında olmadan bilgisayarlarına zararlı yazılım bulaştırıyor.

Proofpoint güvenlik araştırmacıları, TA558'un geçmiş kampanyalarından farklı olarak artık ISO ve RAR dosyalarını kullandığını belirtiyor. Bu dosyalar, tıklandığında otomatik olarak açılan ve içindeki kötü amaçlı yazılımları çalıştıran sıkıştırılmış arşivler. 'Rezervasyon linki, ISO dosyasına ve gömülü bir batch dosyasına yönlendiriyor. Batch dosyasının çalıştırılması, PowerShell yardımcı betiği aracılığıyla AsyncRAT gibi bir ardıl yük indiriyor' diyen araştırmacılar, bu yöntemin Microsoft'un Office ürünlerinde makroları varsayılan olarak devre dışı bırakma kararından sonra popüler hale geldiğini vurguluyor.

TA558'un hedefi genellikle Latin Amerika, Kuzey Amerika ve Batı Avrupa'daki seyahat ve otel işletmeleri. Ancak bireysel kullanıcılar da bu saldırılardan nasibini alıyor. Grubun kullandığı zararlı yazılımlar arasında Loda, Revenge RAT ve AsyncRAT gibi uzaktan erişim truva atları (RAT) bulunuyor. Bu yazılımlar, saldırganlara keşif yapma, veri çalma ve daha fazla zararlı yazılım yükleme imkanı tanıyor. Proofpoint tehdit araştırma direktörü Sherrod DeGrippo, 'Grubun finansal motivasyonlu olduğunu ve çalınan verileri para kazanmak için kullandığını' belirtiyor.

Teknik Analiz

Geçmişte CVE-2017-11882 gibi Microsoft Office açıklarını kullanan TA558, artık daha karmaşık yöntemlerle karşımıza çıkıyor. 2018'den bu yana faaliyet gösteren grup, 2022'de kampanya sayısını önemli ölçüde artırdı. Araştırmacılar, 'Kuruluşlar, özellikle Latin Amerika, Kuzey Amerika ve Batı Avrupa'daki hedef sektörlerde faaliyet gösterenler, bu aktörün taktik, teknik ve prosedürlerinin farkında olmalı ve kendilerini korumak için önlem almalıdır' uyarısında bulunuyor. Seyahat ederken rezervasyon e-postalarını dikkatle incelemek, bilinmeyen bağlantılara tıklamamak ve güncel antivirüs yazılımı kullanmak bu tür saldırılara karşı en etkili savunma yöntemleri arasında.

Paylaş: