Secureworks adlı siber güvenlik firması, merkezi İngiltere’de bulunan tanınmış bir bitcoin firmasından geliyormuş gibi görünen, sahte bir iş ilanının yer aldığı bir eposta tespit etti. Bu mesaj açıldığında, kullanıcının makinesine zararlı yazılım yüklüyor. Bununla birlikte söz konusu hackleme girişiminin epostayı açan kişilerin bitcoinlerini ya da bilgilerini çalmaya yönelik olup olmadığı konusunda netlik bulunmuyor.
Secureworks’ün yetkili güvenlik araştırmacılarından Rafe Pilling yaptığı açıklamada, bu saldırıda gözlenen kodlama biçiminin, WannaCry fidye yazılımı saldırısını ve 81 milyon dolarlık Bangladesh merkez bankası soygununu gerçekleştiren meşhur Kuzey Koreli hacker grubuyla bağlantılı olan ‘Lazarus Group’ olduğunu söyledi.
Saldırının gerçekleştirildiği epostada İngiltere merkezli, kripto para alanında faaliyet gösteren, hızla büyümekte olan bir girişim firmasının finans yöneticisinden gelen sözümona bir iş ilanı yer alıyor. Secureworks bu firmanın hangi firma olduğunu açıklamadı.
Gelen epostaya tıklandığında, ekli word dosyasıyla ilgili açılır bir menü beliriyor. Bu dökümana tıkladığınız zaman, sahte iş ilanıyla ilgili word belgesi çıkıyor karşınıza. Fakat arka planda ‘Uzaktan Erişim Trojanı (RAT)’ yazılımı yüklenmiş oluyor.
Pilling yaptığı açıklamada “Yüklenen zararlı yazılım, saldırganlara temel sistem araştırması ile birlikte, eğer ilgilerini çekecek bir hedef olması halinde gerekli diğer zararlı yazılımları yükleme imkanını sağlıyor” diyor.
Secureworks bu kimlik avı saldırısını, firmanın gözlem altında bulundurduğu zararlı yazılım saldırılarına ait bir veri tabanından elde etmiş. Bu nedenle kaç kişinin söz konusu saldırıdan etkilendiği konusunda net bir rakam bulunmadığı gibi, bu saldırının başarılı olup olmadığı konusunda da bir netlik bulunmuyor.
Fakat Pilling’in bu konudaki açıklaması şöyle: “Bu yemin tek bir posta gönderimi şeklinde yutturulmaya çalışıldığını, bu aşamadan sonra aynı macroyu (kodlama tabanını) kullanarak başka bir şey yapmaya çalışacaklarını düşünüyorum. Genel olarak bu grup, oldukça aktif bir grup. Tüm operasyonun sadece bazı belirtilerini görüyoruz. Bu saldırı, Kuzey Kore ile ilişkilendirdiğimiz siber operasyonlardan gelen çok sayıda farklı saldırının sadece bir parçası.”
