Siber güvenlik firması Kaspersky, Haziran 2025'ten itibaren yürütülen ve şu ana kadar 1.100’den fazla kurumsal kullanıcıyı hedef alan yeni bir kötü amaçlı yazılım kampanyası tespit etti. Saldırganlar, bir hukuk bürosu kimliğiyle sahte e-postalar göndererek alıcıları alan adı patent ihlali iddialarıyla dava açılmakla tehdit ediyor. Bu e-postalarla birlikte iletilen ek dosyaların açılması, kullanıcı cihazlarına casus yazılım yüklenmesine neden oluyor.
Saldırılar, ilk olarak 11 Haziran 2025’te 95 e-postalık bir gönderiyle başladı ve o tarihten bu yana artış gösterdi. E-postalarda, alıcının alan adının bilinen bir marka ile ilişkili olduğu ve bu nedenle patent ihlali oluşturduğu öne sürülüyor. Aynı zamanda söz konusu alan adının satın alınmak istendiği bilgisi de yer alıyor. Saldırganlar, sözde yasal belgeleri içeren bir arşiv dosyası ekleyerek, alıcıların bu içeriği incelemesini talep ediyor.
Dikkat çeken bir teknik ayrıntıya göre, kötü amaçlı yazılım tespitten kaçınmak amacıyla doğrudan parola korumalı bir dosya yerine, parola korumasız bir arşiv içerisine bir parola korumalı alt arşiv ve bu arşivin şifresini içeren ayrı bir dosya yerleştiriliyor.
Kullanıcılar bu şifreli arşivi açıp içeriği çalıştırdığında, bilgisayara bir Truva atı yükleniyor. Cihaza “Bu belge bu cihazda açılamıyor. Başka bir Windows cihazında açmayı deneyin.” mesajı gösterilirken, arka planda Tor tarayıcısı indirilip kuruluyor. Bu sayede kullanıcı ekran görüntüleri düzenli olarak saldırganlara iletiliyor. Yazılım, cihaz her açıldığında yeniden çalışacak şekilde yapılandırılmış.
Saldırının özellikle sağlık, finans ve eğitim gibi sektörlerdeki kurumları hedef aldığı bildiriliyor.
Kaspersky analizine göre saldırı, yasal işlem korkusunu kullanarak kullanıcıları kötü amaçlı yazılımı çalıştırmaya yönlendiren psikolojik bir yöntemle gerçekleştiriliyor. Kurumlar için veri sızıntısı ve sistem güvenliği açısından risk oluşturduğu değerlendiriliyor.
Kaspersky, kullanıcılar ve kurumlara aşağıdaki önlemleri öneriyor:
- Şüpheli görünen e-posta eklerinin (özellikle şifreli arşivlerin) açılmasından kaçınılmalı.
- Yürütülebilir dosyalar çalıştırılmadan önce dikkatle incelenmeli.
- E-posta gönderenin kimliği doğrulanmalı, içerikte belirtilen iddialar doğrulanmadan işlem yapılmamalı.
- Uç nokta koruma yazılımları gibi önleyici güvenlik çözümleri kullanılmalı.
- Çalışanlara yönelik farkındalık eğitimleri düzenlenmeli.
- Olası şüpheli durumlarda derhal bilgi teknolojileri ya da güvenlik ekipleriyle iletişime geçilmeli.