Saldırganlar Kötü Amaçlı Yazılımları 'Tarayıcı Güncellemelerinde' Gizliyor - Dünyadan Güncel Teknoloji Haberleri

Saldırganlar Kötü Amaçlı Yazılımları 'Tarayıcı Güncellemelerinde' Gizliyor - Dünyadan Güncel Teknoloji Haberleri
Web sitesine aktarılan herhangi bir varlık olabilir – herhangi bir stil şablonu türü, medya oynatıcı , veya hemen hemen herhangi bir üçüncü taraf kodu” diyor ”



siber-1

Görevi, trafiği saldırgan tarafından kontrol edilen bir alana yönlendirmektir

Buna göre Proofpoint’ten 17 Ekim tarihli bir raportrend tek bir tehdit aktörü olan TA569 ile başladı ve o zamandan bu yana en az dört farklı tehdit kümesi tarafından benimsendi; büyüyen ve kontrol altına alınması zor yeni bir trend gibi görünüyor

Birincisi, aktörler meşru ancak savunmasız bir web sitesinden yararlanarak kendi kötü amaçlı JavaScript kodlarını enjekte ediyorlar Ama aynı zamanda bu da öyle

Bu, yamalanmamış bir güvenlik açığı veya açıklığı sağlayan bir WordPress yanlış yapılandırması olabilir, “ancak bunun her zaman web sitesinin kendisi olması gerekmez

“10 seferden dokuzunda çocuğumun futbol ligi sitesine gidiyorum ve şunu görüyorum: tamam, çarşamba günü başka bir okulla maçımız var ve hiçbir şey olmuyor Çok etkili olduğu için “diğer tehdit aktörleri kesinlikle bunu sırtladı” diye ekliyor ya da değil Desendeki bu farklılık tetikleyici olmalı” diyor ve şunu itiraf ediyor: “Fark edilmesi kolay değil Bir tür sanal ortamda olup olmadığınızı belirleyebilir


Tehdit aktörleri size karşı en iyi siber güvenlik uygulamalarını kullanıyor ve kötü amaçlı yazılımları sahte tarayıcı güncellemelerinin içine saklıyor

Örneğin, saldırgan TA569 ise, kullanıcı onun imzası olan “SocGholish” ilk erişim kötü amaçlı yazılımını indirecektir Blackford, “Tarayıcınızı güncellemek iyi bir güvenlik uygulamasıdır ve insanların bunu yapmasını şiddetle tavsiye ediyorum

Sahte Tarayıcı Güncellemelerinden Nasıl Korunulur?

Çalışanlara ve diğer eğitimli sivillere, tanınmayan e-posta veya metin mesajlarındaki bağlantılardan ve eklentilerden kaçınmaları öğretiliyor

Blackford, “Genelde çok fırsatçı bir durum Aşağıdaki ekran görüntüleri, güvenlik araştırmacısı Jerome Segura’nın izniyleTA569’dan ve “RogueRaticate” olarak da bilinen “FakeSG” adlı başka bir kümeden sahte güncellemeleri yakalayın (aşağıya bakın) Geçmişte SocGholish, WastedLocker, LockBit, Drydex, Hive ve daha fazlası dahil olmak üzere fidye yazılımları için bir başlangıç ​​noktası olarak kullanılmıştı

Proofpoint’in tehdit araştırması kıdemli yöneticisi Daniel Blackford, “TA569 oldukça uzun bir süredir çok aktif ve müşterilerin tehdidi anlamalarının ve kendi başlarına düzeltmelerinin ne kadar zor olduğunu gördüm” diyor Bunu temelde her sektörde gördük: medyada, yerel spor derneklerinde (çocuk futbol grupları gibi) ve bazı durumlarda yazılım şirketlerinde” diyor Blackford

Dürüst Web Sitelerinde Gizli Kötü Amaçlı Kod

Ayrıntılarda farklılık gösterse de Proofpoint tarafından takip edilen dört tehdit kümesinin her biri büyük ölçüde aynı senaryoyu takip ediyor Kod, yükleme sonrasında kullanıcılara ikna edici tarayıcı güncelleme bildirimleri sunarak tehlikeli yükleri maskeliyor

Sahte Tarayıcı Güncelleme Cazibesi

Blackford buradan yola çıkarak şöyle açıklıyor: “Web enjeksiyonu sisteminiz hakkında bazı bilgiler alacak; bu coğrafi konumdan geliyorsunuz, bu tarayıcı sürümünü kullanıyorsunuz Ve eğer tüm kriterleri geçerseniz, o zaman arka uç sunucusuna ulaşacak ve sahte Güncelleme sayfasını çekecektir Sonra bir keresinde, aniden, ben Chrome’un eski bir sürümünü kullandığımı söyleyen bir sayfaya yönlendirildim, güncellemek için bu düğmeyi tıklayın

Bunu, meşru ancak savunmasız web sitelerini kötü amaçlı JavaScript ile tohumlayarak yapıyorlar

Bir kullanıcı tuzağa düşüp “Güncelle”yi tıklarsa, bilgisayarına kötü amaçlı yazılım indirmiş olur Kötü görünümlü bir bağlantıdan kaçınmaları gerektiğini biliyor olabilirler, peki ya tarayıcılarından gelen bir bildirime ne dersiniz?

Sahte bir güncellemeden gerçek bir güncellemeyi ayırt etmek için Blackford, kullanıcıları güvenilir web sitelerinin ve tarayıcılarının genel olarak nasıl davrandığına ve olağan kalıba uymayan herhangi bir şeyin olup olmadığına dikkat etmeye çağırıyor ”

Güncelleme yemleri, temiz bir görünüm ve ilgili ikonografi ile tarayıcının geliştiricilerinden geliyormuş gibi görünecek şekilde tasarlandı

Bir son kullanıcı web sitesini yüklediğinde, saldırganların komut dosyası sitenin geri kalan çeşitli varlıklarıyla birlikte çalışır neden kötü adamlar para kazanmaya devam ediyorlar?”

Sonuçta kullanıcılar siber güvenlik hijyenini korumaktan çekinmemelidir