Kaspersky, Haziran 2025'ten bu yana 1.100'den fazla kurumsal kullanıcıyı hedef alan ve hızla büyüyen tehlikeli bir kötü amaçlı yazılım kampanyası tespit ettiğini duyurdu. Siber saldırganlar, kendilerini bir hukuk firması olarak tanıtarak e-postalar aracılığıyla alıcıları sahte alan adı patent ihlalleriyle dava açmakla tehdit ediyor ve bu yolla casus yazılım yaymayı amaçlıyor. Sağlık, finans ve eğitim gibi kritik sektörlerdeki kurumlar da bu saldırılardan etkileniyor.

Nasıl Çalışıyorlar?

Kampanya, 11 Haziran'da gönderilen 95 e-posta ile başladı ve o zamandan bu yana artarak devam ediyor. Saldırganlar, alıcının alan adının büyük bir markayla ilişkili patentli kombinasyonları ihlal ettiğini iddia ederek dava tehdidinde bulunmakla kalmıyor, aynı zamanda sahte hukuk bürosu adına patent sahibinin alan adını satın almakla ilgilendiklerini de belirtiyor.

E-postada, sözde ihlallere ilişkin detayların "belgeleri" içeren ekli arşiv dosyası aracılığıyla incelenebileceği belirtiliyor. Saldırganların dikkat çekici bir taktiği ise, tespitten kaçınmak için doğrudan parola korumalı bir dosya göndermek yerine, parola korumasız bir arşiv içerisine parola korumalı bir arşiv ve bu arşivin şifresini içeren ayrı bir dosya yerleştirmeleri.

Truva Atı Yükleniyor, Ekran İçerikleri İzleniyor

Kullanıcı arşiv şifresini girdikten ve içindeki sözde yasal belgeye tıkladıktan sonra, cihaza bir Truva atı yükleniyor. Kullanıcının karşısına "Bu belge bu cihazda açılamıyor. Başka bir Windows cihazında açmayı deneyin." şeklinde bir mesaj çıkarken, aynı anda arka planda gizlice Tor Tarayıcısı indiriliyor ve yükleniyor. Bu tarayıcı aracılığıyla kötü amaçlı yazılım, kullanıcının ekran görüntülerini düzenli olarak Tor ağı üzerinden saldırganlara iletiyor. Üstelik bu kötü amaçlı yazılım, bilgisayar her yeniden başlatıldığında otomatik olarak çalışmaya devam ediyor.

"Psikolojik Manipülasyon ve Teknik Aldatmaca Bir Arada"

Kaspersky spam analisti Anna Lazaricheva, kampanyanın psikolojik manipülasyon ile teknik aldatmacayı ustaca birleştirdiğini belirtiyor. Lazaricheva, "Saldırganlar, yasal işlem korkusunu kullanarak işletmeleri, ekli arşivlerde gizlenmiş zararlı dosyaları çalıştırmaya zorluyor. 11 Haziran’dan bu yana hızla büyümesi, kurumların savunmalarını güçlendirmesinin ne kadar acil olduğunu gösteriyor. Mağdurlar, gizli verilerini kaybetme riskiyle karşı karşıya. Bu gelişen tehdide karşı koyabilmek için güçlü e-posta güvenliği, çalışan eğitimi ve hızlı olay bildirimi hayati önem taşıyor" ifadelerini kullandı.

Kaspersky'den Kurumsal ve Bireysel Kullanıcılara Önemli Öneriler:

Kaspersky, bu tür saldırılardan korunmak için hem kurumsal hem de bireysel kullanıcılara şu tavsiyelerde bulunuyor:

• E-posta Eklerine Dikkat: E-posta eklerini açmadan önce dikkatli olun. Şüpheli görünen hiçbir arşiv dosyasını (şifre korumalı olanlar dahil) açmayın. Yürütülebilir dosyaları çalıştırmaktan kaçının; bu tür dosyalar kötü amaçlı yazılım içerebilir.

• Gönderenin Kimliğini Doğrulayın: İstenmeyen e-postalarda belirtilen yasal iddiaların veya kurumların geçerliliğini teyit edin. Resmi kanallardan kontrol edin.

• Uç Nokta Koruma Çözümleri Kullanın: Saldırı girişimlerini tespit edip engelleyebilecek kapsamlı uç nokta koruma çözümleri uygulayın.

• Personeli Eğitin: Personelin saldırı taktiklerini tanıyabilmesi için düzenli eğitimler verin.

• Hızlı Bildirim: Şüpheli oltalama (phishing) e-postalarına eklenmiş dosyaların açılması durumunda, derhal bilgi teknolojileri veya siber güvenlik ekiplerine haber verin.

Bu yeni ve sofistike saldırı yöntemine karşı dikkatli olmak, siber güvenliğinizi sağlamak adına büyük önem taşıyor. İşletmelerin ve bireysel kullanıcıların bu uyarılara hassasiyetle yaklaşması, olası zararların önüne geçebilir.