Siber suçlular, GootLoader ve FakeUpdates kötü amaçlı yazılımıyla hukuk firmalarını hedef alıyor

Ocak ve Şubat 2023'te altı farklı hukuk firması iki ayrı tehdit kampanyasının hedefi oldu. Bu kampanyalar GootLoader ve FakeUpdates (aka SocGholish) adlı zararlı yazılım türlerini kullanarak gerçekleştirildi.

GootLoader, 2020'nin sonlarından beri aktif olan bir birinci aşama indirici olarak kullanılmaktadır. Bu indirici, Cobalt Strike ve fidye yazılımı gibi pek çok farklı zararlı yazılımı ikinci aşama olarak bulaştırabilme özelliğine sahiptir.

GootLoader özellikle arama motoru optimizasyonu (SEO) zehirleme yöntemini kullanarak işletme ile ilgili belge arayan insanları hedef almaktadır. Bu yöntem sayesinde kurbanlar, kendilerine zararlı yazılım bulaştıran drive-by indirme sitelerine yönlendirilmektedirler.

Hukuk firmalarının hedef alınması son derece ciddi bir durumdur çünkü bu tür şirketler hassas müşteri bilgilerini içerebilirler. Bu nedenle, bu tür bir siber saldırı müşteri bilgilerinin çalınması veya sızdırılması gibi son derece önemli sonuçlar doğurabilir.

eSentire adlı siber güvenlik şirketinin ayrıntılı bir şekilde açıkladığı kampanyada, tehdit aktörlerinin meşru ancak savunmasız WordPress web sitelerini ele geçirerek sahiplerinin bilgisi olmadan yeni blog gönderileri ekledikleri belirtiliyor.

Bu kampanya, kullanıcıların iş anlaşması gibi önemli belgeleri indirmeleri için kandırıldığı bir saldırı yöntemi kullanıyor. Bu yöntemle, bilgisayar kullanıcıları bilgileri olmadan GootLoader adlı zararlı yazılımı indiriyorlar.

WordPress gibi yaygın kullanılan bir platformun ele geçirilmesi, pek çok farklı web sitesinin zarar görmesine neden olabilir. Bu nedenle, siber güvenlik açığı olan web sitelerinin güvenliğini sağlamak son derece önemlidir. Bu tür bir saldırıya maruz kalan şirketler, müşteri verilerinin çalınması veya sızdırılması gibi son derece ciddi sonuçlarla karşı karşıya kalabilirler.

eSentire'ın açıklaması, son dönemde artan Gootkit zararlı yazılım yükleyicisiyle gerçekleştirilen saldırlar hakkında önemli bilgiler veriyor. Bu tür saldırılar özellikle iş profesyonelleri ve hukuk firmaları çalışanlarını hedef alıyor ve giderek yaygınlaşıyor.

GootLoader dışında SocGholish adlı bir indirici de kullanılıyor ve bu yöntemlerle daha fazla zararlı uygulama bırakılabiliyor. Saldırganlar, hassas bilgileri barındıran hukuk firmalarının sıkça ziyaret ettiği bir web sitesini kullanarak, sahte tarayıcı güncellemeleri kılıfı altında zararlı yazılım dağıtıyorlar.

Bu tür saldırılar, iş dünyasında ciddi zararlara yol açabilir. Hukuk firmaları gibi hassas bilgileri barındıran sektörlerin savunması, daha da önem kazanıyor. Bu nedenle, güvenlik önlemlerinin sıkılaştırılması ve savunma sistemlerinin güncel tutulması gerekiyor.

Çift sızma setlerinin diğer dikkat çekici yönü, fidye yazılımı kullanımının olmaması ve bunun yerine daha fazla elle yapılan faaliyetlerin tercih edilmesidir. Bu da saldırıların, casusluk operasyonlarını da içerecek şekilde kapsamını genişletmiş olabileceğini düşündürmektedir.

"2021'den önce, fırsatçı tehdit aktörleri tarafından kullanılan temel enfeksiyon vektörü e-postaydı," diyor Keplinger. "2021'den 2023'e kadar, tarayıcı tabanlı saldırılar [...] e-posta ile rekabet etmek için istikrarlı bir şekilde büyümeye devam ediyor."

"Bunun temel nedeni, GootLoader, SocGholish, SolarMarker ve Google Ads'i kullanarak en üst sıralarda çıkmak için yapılan son kampanyalardır."

Geçmişte, e-postalar en sık kullanılan enfeksiyon yöntemiydi. Ancak son yıllarda, GootLoader, SocGholish, SolarMarker gibi zararlı yazılımların kullanımı ve Google Ads'in kullanılmasıyla, tarayıcı tabanlı saldırılar hızla artmaya başladı. Bu tür saldırılar, hedef sektörlere büyük zarar verebilmekte ve savunmasız olan işletmeleri kolayca etkileyebilmektedir. Bu nedenle, işletmelerin güvenlik önlemlerini sıkılaştırması ve tarayıcı tabanlı saldırılara karşı korunması büyük önem taşımaktadır.