HP Wolf Security tehdit araştırma ekibi, kötü amaçlı yazılımları yaymak için Excel eklenti dosyalarını ele geçirerek saldırganların hedeflerine ulaşmasına yardımcı olan bir saldırı dalgası tespit etti. Ekim-Aralık 2021 döneminde HP Wolf Security müşteri sanal makinelerinde toplanan verilere dayanan raporda,hem kurumları hem de bireyleri veri hırsızlığı ve yıkıcı fidye yazılımı saldırılarına maruz bırakan saldırılarda Microsoft Excel eklentisi (.xll) dosyalarının kullanımı altı kat (yüzde 588) arttı. Sadece bir tıklama gerektiren bu kötü amaçlı yazılımın tehlikeli olduğu tespit eden siber güvenlik ekibi, ayrıca yeraltı pazarlarında .xll dropper ve kötü amaçlı yazılım oluşturucu kitleri tanıtan reklamlar buldu. Tüm bunlar deneyimsiz saldırganların saldırı başlatmasını kolaylaştıran etkenleri oluşturuyor.
HP Kıdemli Kötü Amaçlı Yazılım Analisti ve HP Wolf Security üyesi Alex Holland “Kendilerini algılayacak araçlardan gizlenmek için yazılımların meşru özelliklerini kullanmak ve e-posta ağ geçitlerinin geçmesine izin verebilecek nadir dosya türlerinden faydalanmak saldırganlar için yaygın bir taktik. Güvenlik ekiplerinin sadece tespit etmekle yetinmemeleri, en son tehditlere ayak uydurmalarını ve savunmalarını buna göre güncellemeleri gerekiyor. Örneğin, gördüğümüz kötü amaçlı .xll görüntülerindeki spike’a dayanarak, ağ yöneticilerinin gelen .xll eklerini engelleyecek şekilde e-posta ağ geçitlerini yapılandırmasını, yalnızca güvenilir ortaklar tarafından imzalanmış eklentilere izin vermelerini veya Excel eklentilerini tamamen devre dışı bırakmalarını öneriyorum” diyor
Ayrıca, yeni bir QakBot spam saldırısı, güvenliği ihlal edilmiş e-posta hesaplarındaki e-posta zincirlerini ele geçirip postalara ekli bir kötü amaçlı Excel (.xlsb) dosyasıyla cevap yollayarak hedefleri kandırmak için Excel dosyalarını kullandı. Sistemlere girdikten sonra, algılanmamak için kendisini kurallara uygun Windows işlemlerine enjekte eden QakBot, kötü amaçlı Excel (.xls) dosyalarını, Ursnif bankacılık truva atını kötü amaçlı bir spam saldırısıyla İtalyanca konuşan kurumlara ve kamu sektörü kuruluşlarına yaymak için de kullanıldı. Saldırganlarbu saldırıda İtalyan kurye hizmeti BRT gibi davrandı. Emotet kötü amaçlı yazılımlarını yayan yeni saldırılar da JavaScript veya Word dosyaları yerine Excel’i kullandı.
HP Wolf Security’nin tespit ettiği diğer bazı saldırı özellikleri şunlar:
- HP, büyük kötü amaçlı yazılım spam saldırıları ve fidye yazılımlarını kullanarak sistemlere erişimden para kazanmasıyla bilinen finansal amaçlı bir tehdit grubu TA505’in taktik, teknik ve prosedürlerini kullanan bir MirrorBlast e-posta kimlik avı saldırısı belirledi. Saldırı, FlawedGrace Uzaktan Erişim Truva Atı (RAT) ile kurumları hedef alıyor.
- RedLine ile bulaşan sahte oyun platformu: Ziyaretçileri RedLine infostealer’ı indirmeleri ve kimlik bilgilerini çalmaları için kandıran sahte bir discord yükleyici web sitesi keşfedildi.
- Nadir dosya tiplerini değiştirmek hala algılamanın önüne geçiyor.Aggah tehdit grubu, satın alma emirleri olarak gizlenmiş kötü amaçlı PowerPoint eklenti (.ppa) dosyalarıyla Korece konuşan kurumları hedef aldı ve sistemlere uzaktan erişimli Truva atları bulaştırdı. Kötü amaçlı PowerPoint yazılımları olağandışı ve kötü amaçlı yazılımların yüzde 1’ini oluşturuyor.