Kaspersky, dünya genelindeki işletmeleri hedef alan alışılmadık bir spam kampanyasını ortaya çıkardı. Satıcılardan veya diğer şirketlerden gelen e-postaları taklit eden saldırganlar, Agent Tesla hırsızlık yazılımıyla kurumlardan sisteme giriş verilerini çalmaya çalıştı. Çalınan söz konusu kimlik bilgileri darkweb forumlarında satışa sunulabiliyor veya ilgili kuruluşlara yönelik hedefli saldırılarda kullanılabiliyor. Türkiye, saldırıdan etkilenen kullanıcı sayısı açısından ilk 5 ülke arasında yer aldı. Mayıs-Ağustos 2022 arasında yaklaşık 13 bin 326 kullanıcı bu hırsızlık girişiminin muhatabı oldu.
Siber suçlular, günümüzde toplu spam kampanyalarına yatırım yapıyor. Kaspersky tarafından yapılan son araştırmanın sonuçları bunun açık bir kanıtı niteliğinde. Çeşitli kuruluşlara yönelik ortaya çıkarılan yeni spam e-posta kampanyası, gerçek şirketler tarafından gönderilmiş süsü verilen yüksek nitelikli sahte mesajlardan oluşuyordu. Saldırganlar amaçlarını yerine getirmek için kimlik doğrulama verilerini, ekran görüntülerini, web kameralarından ve klavyelerden alınan verileri çalmak için tasarlanmış, iyi bilinen bir Truva Atı olan Agent Tesla hırsızlık yazılımını kullandılar. Bu kötü amaçlı yazılım, e-postaya eklenmiş halde kendi kendine açılan bir arşiv şeklinde dağıtıldı.
Bir e-posta örneğinde Malezyalı potansiyel müşteri gibi davranan biri, alıcıdan bazı müşteri gereksinimlerini gözden geçirmesini ve istenen belgeleri göndermesini talep etmek için tuhaf bir İngilizce kullanıyor. Genel format kurumsal yazışma standartlarına uygun, gerçek şirkete ait bir logo ve gönderen bilgilerini içeren imza gayet düzgün görünüyor. Dile dair hatalar da ana dili İngilizce olmayan bir göndericiye kolayca atfedilebilecek türden.
E-postayla ilgili tek şüpheli durum, gönderici adresi olan newsletter@trade***.com’un satın alma için değil, genellikle haberler için kullanılan bir “bülten” olarak etiketlenmiş olması. Ayrıca gönderenin alan adı, logodaki şirket adından farklı.
Bir diğer e-postada sözde bir Bulgar müşteri, anlaşmanın ayrıntılarını öğrenmek için bazı ürünlerin ve tekliflerin mevcudiyeti hakkında bilgi istiyor. Talep edilen ürün listesinin ekte olduğu söyleniyor. Göndericinin şüpheli mail adresi ise şirketle görünüşte hiçbir ilgisi olmayan, hatta Bulgar bile değil Yunan alan adına sahip.
Mesajlar sınırlı bir IP adresi aralığından geliyor ve ekteki dosyalarda hep aynı kötü amaçlı yazılım olan Agent Tesla yer alıyor. Bu da araştırmacıların tüm bu mesajların tek bir hedefli kampanyanın parçası olduğunu düşünmesini sağlıyor.
Spam e-posta kampanyalarından korunmak için Kaspersky aşağıdakileri öneriyor:
Personelinize temel siber güvenlik hijyeni eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için kimlik avı simülasyonu saldırıları gerçekleştirin
Kimlik avı e-postası yoluyla bulaşma olasılığını azaltmak için, uç noktalarda ve posta sunucularında Kaspersky Endpoint Security for Business gibi kimlik avına karşı koruma sağlayan sahip bir koruma çözümü kullanın.
Microsoft 365 bulut hizmetini kullanıyorsanız, orayı da korumayı unutmayın. Kaspersky Security for Microsoft Office 365, güvenli iş iletişimi için SharePoint, Teams ve OneDrive uygulamalarının yanı sıra istenmeyen e-posta önleme ve kimlik avı korumasına sahiptir.
