YouTube İçerik Üreticilerine Yönelik Gelişmiş Kimlik Avı Saldırısı
CloudSEK’in tehdit araştırma ekibi, YouTube içerik üreticilerini hedef alan gelişmiş bir kimlik avı kampanyası hakkında önemli detaylar paylaştı. Bu yeni dolandırıcılık yöntemi, sahte marka iş birlikleri yoluyla hesap çalmak ve milyonlarca takipçiye yayılan dolandırıcılıkları gerçekleştirmek amacıyla tasarlanmış.
CloudSEK adına raporu kaleme alan Mayank Sahariya, bu sofistike kimlik avı kampanyasının, güvenilir markaların taklit edilmesiyle oluşturulan sahte iş birliği teklifleri yoluyla kötü amaçlı yazılım dağıtılmasını içerdiğini belirtiyor.
Saldırganlar ilk olarak, YouTube kanallarındaki e-posta adreslerini özel bir analiz aracı kullanarak topluyor. Bu yöntemle, içerik üreticileri ve şirketler doğrudan hedefleniyor. Ele geçirilen e-posta adresleriyle saldırganlar, tarayıcı otomasyon araçları kullanarak toplu kimlik avı e-postaları göndermeye başlıyor.
Gönderilen e-postalar, tanınmış markalardan gelen meşru iş teklifleri gibi görünmekte ve cazip iş birliği teklifleri sunmaktadır. Örneğin, içerik üreticilerinin abone sayısına göre ödeme yapmayı vaat eden bu e-postalar, ekli dosyalarda kötü amaçlı yazılımları saklıyor. Bu ekler genellikle Word, PDF veya Excel dosyaları gibi güvenilir formatlar olarak maskeleniyor ve promosyon materyalleri, sözleşmeler veya iş teklifleri gibi gösteriliyor.
E-postanın sonunda, saldırganlar, bir zip dosyasına erişim sağlamak için OneDrive bağlantısı ve dosyanın şifresini paylaşıyor. Bu dosya içinde bulunan “Digital Agreement Terms and Payments Comprehensive Evaluation.exe” adlı dosya, kötü amaçlı bir yük içeriyor. Dosya indirildiğinde ve çıkarıldığında, zararsız bir dosya formatı gibi görünen bir kötü amaçlı betik çalıştırılıyor. Örneğin, “webcams.pif” olarak adlandırılan bu betik, AutoIt3 otomasyon yazılımını kullanarak arşivde saklanan ek kötü amaçlı yazılımları çalıştırıyor.
Kötü Amaçlı Yazılımın Yöntemleri
Saldırganlar, tespit edilmekten kaçınmak için, bu kötü amaçlı ekleri OneDrive gibi bulut depolama platformlarında barındırıyor ve dosyaları şifrelerle koruyor. Bu yöntem, iş birlikleri ve promosyon materyallerinin şifreli olmasını bekleyen alıcılar için daha meşru bir izlenim yaratıyor.
Meraklı bir YouTube içerik üreticisinin eki indirmesi durumunda, kötü amaçlı yazılım sistemi ele geçiriyor. Bu yazılım; giriş bilgileri, finansal veriler ve fikri mülkiyet gibi hassas bilgileri çalmak üzere tasarlanmış. Bazı durumlarda ise, saldırganlara sistem üzerinde uzaktan erişim yetkisi sağlayarak tüm sistemi tehlikeye atıyor.
Hedef Kitlesi Kimler?
CloudSEK’e göre, bu küresel kampanya öncelikli olarak pazarlama, satış ve yönetici pozisyonlarında çalışan işletmeler ve bireyleri hedef alıyor. Bu kişiler, marka iş birlikleri ve promosyonlara daha açık olduklarından, kimlik avı saldırıları için ideal hedef haline geliyor.
Şu ana kadar bu kampanyada 2 milyondan fazla YouTube içerik üreticisi hedef alınmış durumda. Tek bir e-posta hesabından 500 ila 1.000 arası kimlik avı e-postası gönderiliyor ve 340’tan fazla SMTP sunucusu saldırılar için silah haline getirilmiş.
Korunma Yöntemleri
YouTube içerik üreticilerinin bu tür saldırılardan korunmak için aşağıdaki önlemleri alması önerilmektedir:
- Şüpheli İş Birliği Tekliflerine Karşı Dikkatli Olun: Özellikle şifre korumalı ekler içeren beklenmedik teklifler konusunda temkinli olun.
- E-posta Adreslerini Çift Kontrol Edin: Markaların resmi iletişim adreslerini kontrol ederek teklifin doğruluğunu teyit edin.
- Doğrudan İletişime Geçin: İş birliği tekliflerinin gerçekliğini onaylamak için markalarla doğrudan iletişime geçin.
- Bilinmeyen Gönderenlerden Gelen Ekleri İndirmekten Kaçının: Şifre korumalı dahi olsa, tanımadığınız göndericilerden gelen ekleri indirmeyin.
- Güvenlik Yazılımları Kullanın: Kötü amaçlı yazılımları algılayabilen ve durdurabilen bir güvenlik çözümü edinin.
Bu içeriği beğendiniz ya da yararlı bulduysanız paylaşmayı unutmayınız!
Twitter ve Facebook Hesaplarımızdan Bizi Takip Edebilirsiniz.