Selamlar! Bir sürü farklı kötü amaçlı yazılımın dağıtımında steganografinin kullanıldığının keşfedildi. Kimi saldırılar Latin Amerika’daki şirketleri hedef alsa da, Rusya, Romanya ve Türkiye’deki şirketler de riske maruz kaldı. TA558 adlı tehdit aktörü, Venom RAT’ı kullanarak işletmelere kimlik avı saldırıları gerçekleştirdi. Kirli bir Excel dosyası indirerek başlayan saldırı, Ajan Tesla kötü amaçlı yazılımının çalıştığı ana bilgisayara yol açtı.
Bu saldırı zinciri yalnızca Ajan Tesla’yı değil, aynı zamanda FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger ve XWorm gibi başka kötü amaçlı yazılımları da ortaya çıkardı. Kimlik avı e-postaları, mesajların güvenilirliğini artırmak ve engellenme olasılığını azaltmak için güvenli olmayan SMTP sunucularından gönderildi. Ayrıca, çalınan verileri hazırlamak için virüslü FTP sunucularının kullanıldığı da belirlendi.
Positive Technologies, bir Telegram botu tarafından kontrol edilen bir kullanıcının (joekoala) adıyla anılan Lazy Koala adlı aktivite kümesini takip ediyor. Bu grup aynı zamanda YoroTrooper (diğer adıyla SturgeonPhisher) adıyla bilinen başka bir hacker grubuyla da bağlantılı olabilir. Güvenlik araştırmacıları, saldırganların çalınan verileri Telegram’a göndermek için LazyStealer adlı kötü amaçlı yazılımı kullandığını keşfetti.
Sonuç olarak, bu kötü amaçlı yazılım ailesi, kötü niyetli kişiler arasında popülerlik kazanan Telegram’a veri sızdırmak için kullanılan ilkel bir hırsızla ilişkilendiriliyor. Ayrıca, kötü amaçlı yazılımların yayılması için sosyal mühendislik kampanyalarının da olduğu belirlendi. Başka farklı kötü amaçlı yazılımlar da bulundu, örneğin ÖlümcülRAT ve SolarMarker.
Bu saldırılar oldukça karmaşık ve tehlikeli olabilir, bu yüzden dikkatli olmak önemlidir. Siber güvenliğinizi güçlendirmek ve alınabilecek her türlü önlemi almak çok önemlidir. Kendinize dikkat edin ve güvende kalın!
