Yeni bir kötü amaçlı yazılım kampanyası, Avrupa'daki otel ve konaklama personelini hedef alarak, güçlü bir uzaktan erişim truva atı dağıtmak için sahte Windows Mavi Ekran hatası sayfalarından yararlanıyor. Saldırı, modern uç nokta savunmalarını aşmak için kimlik avı e-postaları, sosyal mühendislik ve güvenilir Windows araçlarını birleştiriyor.

Araştırmacılar, PHALT#BLYX olarak izlenen kampanyanın, Booking.com rezervasyon e-postalarını taklit ettiğini ve kurbanları kötü niyetli komutları manuel olarak yürütmeleri için kandırdığını söylüyor. Bu operasyonu özellikle tehlikeli kılan şey, geleneksel kötü amaçlı yazılım yükleyicileri yerine, meşru Windows bileşenlerini istismar eden living off the land tekniklerine dayanmasıdır.

Sonuç, tam sistem ele geçirebilen iyi bilinen bir uzaktan erişim trojanı olan DCRat'ın sinsi bir şekilde dağıtılmasıdır.

Önemli Noktalar

• Sahte Booking tarzı e-postalar, Avrupa genelindeki otel personelini hedef alıyor.
• Kurbanlar sahte Mavi Ekran Hatası kurtarma sayfalarına yönlendiriliyor.
• Kullanıcılar kötü niyetli PowerShell komutları çalıştırmaları için aldatılıyor.
• Kötü amaçlı yazılım, antivirüs tespitinden kaçmak için MSBuild kullanıyor.
• DCRat, tam uzak kontrol ve veri hırsızlığına olanak tanır.
• Kampanya, güvenilir Windows araçlarını ağır bir şekilde istismar ediyor.

Sahte Rezervasyon E-postası Saldırısı Nasıl Başlar

Saldırı, Booking.com'dan geliyormuş gibi görünen bir oltalama e-postasıyla başlıyor. Bu e-postalar, otel personeline beklenmedik rezervasyon iptalleri hakkında bilgi veriyor ve acil harekete geçmeleri için onları zorluyor.

Mesajlar genellikle şunları içerir:

• Rezervasyon ve oda ücretleri Euro cinsinden listelenmiştir.
• İptal onayıyla bağlantılı bir aciliyet hissi
• Ifade, Booking.com'a yönlendirmeyi iddia eden tıklanabilir bir bağlantıdır.

Bağlantıya tıklandığında, kurbanları Booking.com arayüzünü görsel olarak taklit eden sahte bir web sitesine gönderir.

Ayrıca Oku:

Kripto Kötü Amaçlı Yazılımı Kaldırma ve Tespit Etme Rehberi

Sahte CAPTCHA ve Mavi Ekran Sosyal Mühendislik

Sahte Booking sayfasına ulaştıktan sonra, kurbanlara sahte bir CAPTCHA zorluğu sunulmaktadır. Bu adım, son yüklemenin tesliminden önce şüpheleri azaltmak ve güven oluşturmak için tasarlanmıştır.

CAPTCHA tamamlandıktan sonra, kullanıcı sahte bir Windows Mavi Ekran Hatası sayfasına yönlendirilir. Sayfa, sistemin kritik bir hata ile karşılaştığını iddia eder ve adım adım kurtarma talimatları sağlar.

Bu talimatlar kullanıcının:

• Windows Çalıştır penceresini açın
• Ekranda gösterilen bir komutu yapıştırın.
• Enter tuşuna basın sorunu çözmek için.

Gerçekte, komut kötü niyetli bir PowerShell betiği başlatır.

PowerShell ve MSBuild İhlali Açıklandı

Bir kez yürütüldüğünde, PowerShell komutu çok aşamalı bir enfeksiyon sürecini başlatır. Betik, uzaktan bir sunucudan özel olarak hazırlanmış bir MSBuild proje dosyasını indirir ve bunu meşru bir Microsoft geliştirme aracı olan MSBuild.exe kullanarak çalıştırır.

Bu teknik özellikle tehlikeli çünkü MSBuild, genellikle güvenlik uyarılarını atlayan güvenilir bir Windows ikili dosyasıdır.

MSBuild proje dosyası birkaç işlem gerçekleştirir:

• DCRat yükünü indirir
• Microsoft Defender hariç tutmaları ekler
• Başlangıç klasörü aracılığıyla kalıcılığı sağlar
• Kötü amaçlı yazılımı sessizce başlatır

Eğer kötü amaçlı yazılım yönetici ayrıcalıklarıyla çalışıyorsa, Windows Defender'ı tamamen devre dışı bırakabilir.

Aggressive UAC Bypass ve Kullanıcı Yorgunluğu Taktikleri

Eğer yönetici ayrıcalıkları mevcut değilse, kötü amaçlı yazılım hemen başarısız olmaz. Bunun yerine, Windows Kullanıcı Hesabı Kontrolü istemlerini tekrar tekrar tetikler.

Hedef, kullanıcı yorgunluğundan faydalanmaktır. Saldırganlar, her birkaç saniyede bir tekrar eden izin talepleri göstererek, kurbanların sonunda sinirlenip isteği onaylamalarını umuyorlar.

Bu taktik, sosyal mühendisliğin son nokta güvenliğinin en zayıf noktalarından biri olmaya devam ettiğini vurgulamaktadır.

Şüpheyi Önlemek için Dikkat Dağıtma Teknikleri

Şüphenin daha da azaltılması için, PowerShell betiği yürütüldükten sonra varsayılan tarayıcıda gerçek Booking.com admin sayfasını açar.

Bu, kullanıcı eyleminin meşru olduğu ve orijinal görevleriyle ilgili olduğu illüzyonunu yaratır. Bu arada, kötü amaçlı yazılımın kurulumu, görünür belirtiler olmadan arka planda devam eder.

Bu aldatma ve dikkat dağıtma kombinasyonu, saldırının başarı oranını önemli ölçüde artırır.

Ayrıca Oku:Malware ve Virus: Öğrenilmesi Önemli Olan Şeyler

DCRat Nedir ve Neden Tehlikelidir

DCRat, aynı zamanda DarkCrystal RAT olarak da bilinir, yaygın olarak kullanılan bir .NET tabanlı uzak erişim trojanıdır ve AsyncRAT'ın bir varyantıdır. Hazır bir kötü amaçlı yazılım aracı seti olarak satılmaktadır ve eklenti tabanlı bir mimariyi desteklemektedir.

Bir kez kurulduğunda, DCRat şunları yapabilir:

• Tuş vuruşlarını kaydet

• Kimlik bilgilerini ve hassas verileri çalın

• Rastgele komutlar çalıştırın.
• Ekstra kötü amaçlı yazılım yüklerini indirin
• Kripto para madencilerini kurun

• Kalıcı erişimi sürdürün

Kötü amaçlı yazılım, bir komut ve kontrol sunucusuna geri bağlanır ve talimatlar bekler, bu da saldırganlara tehlikeye atılmış sistemlere uzun vadeli erişim sağlar.

Modern Zararlı Yazılımlarda Toprağı Kullanma Teknikleri

Bu kampanya, araziden yararlanma tekniklerinin klasik bir örneğidir. Açıkça zararlı ikili dosyalar bırakmak yerine, saldırganlar Windows makinelerinde zaten mevcut olan güvenilir sistem araçlarını kötüye kullanıyorlar.

Ana kötüye kullanılan bileşenler şunlardır:

• PowerShell başlangıç yürütmesi için
• MSBuild.exe yük iletimi için

• Kalıcılık için başlangıç klasörleri

• Windows Defender hariç tutmaları için kaçınma

Bu araçları kullanarak, saldırganlar izlerini azaltır ve tespiti önemli ölçüde zorlaştırırlar.

Neden Misafirperverlik Sektörü Hedef Alınıyor?

Araştırmacılar, oltalama e-postalarının belirgin bir şekilde Euro cinsinden fiyatlar içerdiğini ve bunun da güçlü bir şekilde Avrupa organizasyonlarına odaklanıldığını önerdiğini belirtiyorlar.

Oteller ve konaklama işletmeleri özellikle cazip hedeflerdir çünkü:

• Personel sık sık Booking.com iletişimlerini yönetir.

• Ön büro sistemleri genellikle geniş bir erişime sahiptir

• Operasyonel aciliyet, tıklama oranlarını artırır.
• Siber güvenlik eğitimi genellikle tutarsızdır

Bu faktörler, otel çalışanlarını sosyal mühendislik saldırıları için ideal hedefler haline getiriyor.

Rus Tehdit Aktörü Katılımı Göstergeleri

MSBuild proje dosyasının analizi, kod içinde Rusça diline ait kalıntılar ortaya çıkardı. Rusça konuşan siber suçlularla genellikle ilişkilendirilen DCRat'ın kullanımıyla birleştirildiğinde, araştırmacılar kampanyanın Rus tehdit aktörleriyle bağlantılı olabileceğine inanıyor.

Atıf temkinli kalırken, teknik göstergeler bilinen DCRat kullanım kalıplarıyla örtüşüyor.

Örgütlerin Alması Gereken Koruyucu Önlemler

KONAKLAMA SEKTÖRÜNDEKİ ORGANİZASYONLAR, BU KAMPANYAYI BİR UYARI İŞARETİ OLARAK GÖRMELİDİR.

Ana savunma adımları şunlardır:

• Yönetici Olmayan Kullanıcılar İçin PowerShell Çalıştırmasını Engelleme

• Geliştirme ortamları dışındaki MSBuild.exe kullanımını izleme
• Katı uygulama beyaz listesi uygulamak
• Personeli web sayfalarından komut çalıştırmamaları için eğitme
• Phishing'e dayanıklı e-posta filtreleme uygulamak

Kullanıcı farkındalığı kritik öneme sahip, çünkü saldırı büyük ölçüde manuel yürütmeye dayanmaktadır.

Son Düşünceler

Sahte Mavi Ekran Ölümü kötü amaçlı yazılım kampanyası, siber suçluların psikolojik manipülasyonu, Windows sistemleri hakkında derin teknik bilgi ile nasıl harmanladığını gösteriyor. Güvenilir araçları kötüye kullanarak ve kullanıcıları komutları kendilerinin yürütmesine ikna ederek, saldırganlar geleneksel güvenlik kontrollerini çarpıcı bir başarıyla aşmayı başarıyor.

Üçüncü taraf platformlara, Booking.com gibi, büyük ölçüde bağımlı olan oteller ve hizmet işletmeleri için, bu saldırı hem teknik önlemlerin hem de personel eğitimlerinin acil bir ihtiyaç olduğunu vurgulamaktadır. Meşru sorun çözme ile kötü niyetli talimatlar arasındaki sınır giderek belirsizleşiyor.

Ayrıca Oku:Lumma Kötü Amaçlı Yazılımlar nedir? Ayrıca Kripto Cüzdan Hırsızlığı

SSS

Sahte Mavi Ekran Hatası saldırısı nedir?

Bu, saldırganların kullanıcıları kötü niyetli komutlar çalıştırmaya kandırmak için sahte bir Windows çökme ekranı gösterdiği bir sosyal mühendislik taktiğidir.

Bu kampanyada oteller neden hedef alınıyor?

Oteller sık sık Booking.com'u kullanır ve acil rezervasyon sorunlarını halleder, bu da personelin oltalama e-postalarına daha fazla güvenme olasılığını artırır.

Bu saldırıda hangi kötü amaçlı yazılım teslim ediliyor?

Saldırı, tam sistem ele geçirme yeteneğine sahip bir uzak erişim truva atı olan DCRat'ı kurar.

Kötü amaçlı yazılım, antivirüs algılamasından nasıl kaçınır?

Güvenilen Windows araçlarını, PowerShell ve MSBuild gibi, kötüye kullanır ve Defender istisnalarını değiştirir.

Organizasyonlar bu saldırıya karşı nasıl korunabilir?

PowerShell kullanımını sınırlamak, MSBuild etkinliğini izlemek ve personeli web sitelerinden komut çalıştırmamaları için eğitmek, ana savunmalardır.