Yeni HP Wolf Security raporu, makroları varsayılan olarak engelleme hamlesinin tehdit aktörlerini yaratıcı yollarla düşünmeye zorladığını gösteriyor.
HP, bilgisayar korsanlarının QR kodlu kimlik avı kampanyalarındaki artış da dahil olmak üzere saldırı yöntemlerini çeşitlendirdiğini gösteren en son üç aylık HP Wolf Security Tehdit Öngörüleri Raporu’nu yayınladı. HP Wolf Security, tespit araçlarından kaçan bilgisayarlardaki tehditleri izole ederek, hızla değişen siber suç ortamında siber suçlular tarafından kullanılan en son teknikler hakkında özel bir içgörüye sahip oluyor. HP Wolf Security müşterileri bugüne kadar 25 milyardan fazla e-posta ekine, web sayfasına tıklamış ve hiçbir ihlal bildirilmeden dosya indirmiş bulunuyor. HP Wolf Security ile ilgili diğer bilgilerin, 28-30 Mart tarihleri arasında McCormick Place Chicago’da düzenlenecek olan Amplify İş Ortakları Konferansı’nda sunulacağı belirtiliyor.
Şubat 2022’den itibaren Microsoft, Office dosyalarındaki makroları varsayılan olarak engellemeye başlayarak saldırganların kötü amaçlı kod çalıştırmasını zorlaştırdı. HP Tehdit Araştırma ekibi tarafından toplanan veriler, 2022’nin 2. çeyreğinden itibaren saldırganların cihazlara sızmanın ve veri çalmanın yeni yollarını bulmak için tekniklerini çeşitlendirdiğini gösteriyor. Araştırma, HP Wolf Security çalıştıran milyonlarca uç noktadan elde edilen verilere dayanıyor:
QR tarama dolandırıcılığı
HP, Ekim 2022’den bu yana neredeyse her gün QR kodu “tarama dolandırıcılığı” kampanyalarına tanık oldu. Bu dolandırıcılıklar, kullanıcıları mobil cihazlarını kullanarak bilgisayarlarından QR kodlarını taramaları için kandırıyor ve böylece potansiyel olarak bu tür cihazlarda daha zayıf kimlik avı koruması ve tespitinden yararlanıyor. QR kodları kullanıcıları kredi ve banka kartı bilgilerini isteyen kötü niyetli web sitelerine yönlendiriyor. Dördüncü çeyrekteki örnekler arasında, ödeme isteyen paket teslimat şirketleri gibi görünen kimlik avı kampanyaları da yer aldı.
HP, zararlı PDF eklerinde yüzde 38’lik bir artış kaydetti
Son saldırılar, web ağ geçidi tarayıcılarını atlayarak şifrelenmiş kötü amaçlı ZIP dosyalarına bağlantı veren gömülü görüntüler kullanıyor. PDF talimatları, kullanıcının bir ZIP dosyasını açmak için girmesi için kandırıldığı bir parola içeriyor ve fidye yazılımı dağıtmak için plaj başı olarak kullanılan sistemlere yetkisiz erişim elde etmek için QakBot veya IcedID kötü amaçlı yazılımını dağıtıyor.
Zararlı yazılımların yüzde 42’si ZIP, RAR ve IMG gibi arşiv dosyalarının içinde ulaştırıldı
Tehdit aktörleri yüklerini çalıştırmak için komut dosyalarına geçtikçe, arşivlerin popülaritesi 2022’nin ilk çeyreğinden bu yana yüzde 20 arttı. Bu oran, Microsoft Word, Excel ve PowerPoint gibi Office dosyaları aracılığıyla gönderilen zararlı yazılımların yüzde 38’lik oranı ile karşılaştırılıyor.
HP, HP Wolf Security tehdit araştırma ekibi Kıdemli Kötü Amaçlı Yazılım Analisti Alex Holland, “Emotet gibi zararlı yazılım dağıtıcılarının Office’in daha katı makro politikasını karmaşık sosyal mühendislik taktikleriyle aşmaya çalıştığını gördük ve bunun daha az etkili olduğunu düşünüyoruz. Ancak bir kapı kapandığında diğeri açılıyor ve tarama dolandırıcılığı, kötü amaçlı reklamcılık, arşivler ve PDF zararlı yazılımlarındaki artışı da bunu gösteriyor” diyor ve ekliyor: “Kullanıcıların, QR kodlarını tarayıp hassas verilerini vermelerini isteyen e-postalara ve web sitelerine ve parola korumalı arşivlere bağlanan PDF dosyalarına dikkat etmesi gerekiyor.”
HP ayrıca 4. çeyrekte, bilgisayarlara sekiz zararlı yazılım ailesini bulaştırmak için kullanılan kötü amaçlı reklam kampanyalarında taklit edilen 24 popüler yazılım projesi buldu (bir önceki yıl sadece iki benzer kampanya vardı). Saldırılar, kullanıcıların gerçek web siteleriyle neredeyse aynı görünen kötü amaçlı web sitelerine yönlendiren arama motoru reklamlarına tıklamasına dayanıyor.
HP Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt, “Teknikler gelişse de, tehdit aktörleri kullanıcıları uç noktada hedef almak için hala sosyal mühendisliğe güveniyor” diyor ve ekliyor:
“Kurumlar e-posta, web taraması ve indirmeler gibi en yaygın saldırı vektörlerini kontrol altına almak için güçlü izolasyon uygulamalı. Bunu, saldırı yüzeyini büyük ölçüde azaltmak ve bir kurulumun güvenlik duruşunu iyileştirmek için kullanıcıları uyaran veya hassas bilgileri şüpheli sitelere girmelerini önleyen kimlik bilgisi koruma çözümleriyle birleştirmeliler.”
HP Wolf Security, kullanıcıları korumak için e-posta eklerini açma, dosya indirme ve bağlantılara tıklama gibi riskli görevleri yalıtılmış, mikro sanal makinelerde (mikro VM’ler) çalıştırıyor ve virüs bulaşma girişimlerinin ayrıntılı izlerini yakalıyor. HP’nin uygulama izolasyonu teknolojisi, diğer güvenlik araçlarını atlatabilecek tehditleri azaltıyor ve yeni izinsiz giriş teknikleri ve tehdit aktörlerinin davranışları hakkında benzersiz bilgiler sağlıyor.
Veriler hakkında
Bu veriler, Ekim-Aralık 2022 tarihleri arasında HP Wolf Security müşteri sanal makinelerinde anonim olarak toplanmıştır.