Siber güvenlik dünyasında yeni bir tehdit dalgası yükseliyor: Sahte elektronik tebrik kartları (eKart) aracılığıyla gerçekleştirilen bir phishing kampanyası, Windows ve macOS kullanıcılarını hedef alarak meşru uzaktan yönetim ve izleme (RMM) yazılımlarını kötüye kullanıyor. Forescout tarafından 14 Temmuz'da yayınlanan araştırmaya göre, SeasonalInvite adı verilen bu kampanya en az Ocak 2026'dan beri aktif ve Haziran sonu itibarıyla hâlâ yüklemeler yapıyor. Kampanyanın en dikkat çekici özelliği, mevsimlere göre değişen tuzak temaları: kışın vergi ve Sosyal Güvenlik temaları kullanılırken, baharla birlikte Sevgililer Günü, Paskalya ve bahar davetiyeleri ön plana çıkıyor.
Araştırmacılar, phishing e-postalarında ve zehirli arama sonuçlarında kullanılan 959 alan adı tespit etti. Kurbanlar, bir trafik dağıtım sistemi (TDS) tarafından filtrelendikten sonra, ünlü eKart hizmeti BlueMountain'ı taklit eden bir sayfaya yönlendiriliyor. Bu sayfada bir yükleme animasyonu gösteriliyor ve üç saniye sonra otomatik olarak işletim sistemine uygun bir yükleyici indiriliyor. Bu yöntem, kullanıcıların dikkatini dağıtarak farkında olmadan zararlı yazılım yüklemelerini sağlıyor.
Kampanyada kullanılan RMM araçları arasında ConnectWise ScreenConnect, LogMeIn Resolve, Kaseya ve Alman yazılımı O&O Syspectr yer alıyor. Bu araçların tümü ticari olarak imzalanmış ve meşru olduğu için, güvenlik yazılımları tarafından kolayca tespit edilmiyor. Windows'ta, batch ve VBScript dropper'lar bir yükleyici indirip kullanıcı hesabı denetimi (UAC) istemi oluşturarak kullanıcının ayrıcalıklı yüklemeyi onaylamasını sağlıyor. macOS'ta ise imzalı bir Kaseya paketi, ayrı bir config.data dosyasıyla birlikte kullanılarak yükleme işlemi saldırganın sunucusuna yönlendiriliyor. Bu yöntem, MSP'ler için tasarlanmış gözetimsiz dağıtım özelliğini kötüye kullanıyor.
Her bir sahte sayfa, ziyaretçinin IP adresini, şehrini ve tarayıcı bilgilerini toplayarak bir arka uç sunucusuna gönderiyor. Bu sayede saldırgan, sayfaya ulaşan herkesin kaydını tutabiliyor. Forescout araştırmacıları, phishing sayfalarında yapay zeka tarafından oluşturulduğunu düşündüren işaretler tespit etti: emoji ön ekli görev yorumları ve 'ilk parça' ile 'ikinci parça' birleştirme referansları. Bu, saldırganın büyük bir dil modeli (LLM) kullanarak kod parçalarını birleştirdiğini ve işletim sistemi algılama, Telegram tabanlı raporlama ve animasyon mantığı içeren sayfalar oluşturduğunu gösteriyor.
Kullanılan TDS, daha büyük ve paylaşımlı bir platform gibi görünüyor. Forescout, bu geçit sayfasının parmak izini taşıyan 2658 URL buldu; bunların çoğu otomatik tarayıcılara zararsız görünürken gerçek kullanıcıları yönlendiriyor. Tüm URL'ler SeasonalInvite parmak izini taşımadığı için, sistemin aynı anda birden fazla ilgisiz phishing operasyonuna hizmet ettiği düşünülüyor. Microsoft da Mart ayında benzer bir altyapıyı belgeleyerek aynı operasyonun vergi temalı tuzaklar kullandığını ortaya koymuştu.
Forescout, kuruluşları RMM araçlarının onaylı bir envanterini tutmaya ve diğerlerine karşı uyarı vermeye, e-posta filtrelemeyi mevsimsel temalara karşı güçlendirmeye ve çalışanları gerçek bir eKart'ın asla uzaktan destek yazılımı yüklemeyi veya bir yükseltme istemini onaylamayı gerektirmediği konusunda eğitmeye çağırıyor. Bu tür saldırılara karşı en etkili savunma, kullanıcı farkındalığı ve sıkı güvenlik politikalarıdır.
Kaynak: infosecurity-magazine.com