HP, kötü niyetli PDF ve Office saldırılarındaki artış konusunda uyarırken Office makrolarının devam ettiğine dikkat çekiyor.
HP, saldırganların kullanıcıları etkilemek ve uç noktalara virüs bulaştırmak için yenilikçi yollar bulmaya devam ettiğini gösteren üç aylık HP Wolf Security Tehdit Tespitleri Raporu’nu yayınladı. HP Wolf Security tehdit araştırma ekibi, aşağıdakiler de dahil olmak üzere birkaç önemli kampanyayı ortaya çıkardı:
- DarkGate kampanyası saldırıları keskinleştirmek için reklam araçlarını kullanıyor: OneDrive hata mesajları gibi görünen kötü amaçlı PDF ekleri, kullanıcıları popüler bir reklam ağında barındırılan sponsorlu içeriğe yönlendiriyor. Bu da DarkGate kötü amaçlı yazılımına yol açıyor.
- Tehdit aktörleri, reklam hizmetlerini kullanarak hangi yemlerin tıklama yarattığını ve en çok kullanıcıyı etkilediğini analiz edebiliyor ve maksimum etki için kampanyaları iyileştirmelerine yardımcı oluyor.
- Tehdit aktörleri, sandbox’ların zararlı yazılımları taramasını önlemek ve yalnızca insanların tıklamasını sağlayarak saldırıları durdurmak için CAPTCHA araçlarını kullanabiliyor.
- DarkGate, siber suçlulara ağlara arka kapı erişimi sağlayarak kurbanları veri hırsızlığı ve fidye yazılımı gibi risklere maruz bırakıyor.
- Makrolardan Office istismarlarına geçiş: 4. çeyrekte, elektronik tabloları içeren saldırı girişimlerinin en az yüzde 84’ü ve Word belgelerini içeren saldırı girişimlerinin yüzde 73’ü Office uygulamalarındaki güvenlik açıklarından yararlanmaya çalıştı ve makro özellikli Office saldırılarından uzaklaşma eğilimi devam ediyor. Ancak makro özellikli saldırılar, özellikle Agent Tesla ve XWorm gibi ucuz emtia kötü amaçlı yazılımlardan yararlanan saldırılar için hala bir yere sahip.
- PDF zararlı yazılımları artıyor: 4. çeyrekte analiz edilen zararlı yazılımların yüzde 11’i zararlı yazılım sunmak için PDF kullanırken, bu oran 2023’ün 1. ve 2. çeyreklerinde sadece yüzde 4’tü. Dikkate değer bir örnek, kullanıcıları Ursnif kötü amaçlı yazılımını yüklemeleri için kandırmak amacıyla sahte bir paket teslimatı PDF’si kullanan bir WikiLoader saldırısıydı.
- Discord ve TextBin zararlı dosyaları barındırmak için kullanılıyor: Tehdit aktörleri kötü amaçlı dosyaları barındırmak için yasal dosya ve metin paylaşım sitelerinden faydalanıyor. Bu sitelere genellikle kurumlar güveniyor ve bu da sitelerin zararlı yazılımlara karşı tarayıcılardan kaçınmasına yardımcı olarak saldırganların tespit edilmeden kalma şansını artırıyor.