Siber güvenlik uzmanları, Microsoft Teams platformu üzerinden yürütülen yeni bir siber saldırı yöntemi tespit etti. Hackerlar, seçtikleri kurbanlarla iletişime geçerek sistemlerine uzaktan erişim sağlıyor ve Matanbuchus 3.0 isimli zararlı yazılımı yüklüyor.
Detaylarına bakıldığında ise saldırganların kurbanlarını önceden belirleyip onlara harici bir bilgi teknolojileri destek ekibi gibi yaklaştıkları görülüyor. Microsoft Teams üzerinden yapılan görüşmelerde, hedeflenen kişilere cihazlarında sorun olduğu belirtiliyor ve Quick Assist aracı üzerinden uzaktan bağlantı talep ediliyor.
Microsoft Teams kullanıcıları dikkat
Saldırganlar uzaktan erişim izni aldıktan sonra, PowerShell üzerinden çalışan bir komut dosyası kullanarak Matanbuchus 3.0 isimli zararlı yazılımı sisteme yüklüyor. Bu yazılım sayesinde bilgisayara uzaktan erişim sağlanabiliyor ya da fidye yazılımı gibi başka zararlı yazılımlar yüklenebiliyor.
Morphisec tarafından yapılan açıklamaya göre ise indirilen zararlı arşiv dosyasının içinde değiştirilmiş bir Notepad++ güncelleyicisi, yapılandırma dosyası ve kötü amaçlı bir DLL bulunuyor. İlk olarak 2021 yılında ortaya çıkan bu yazılım, o dönem 2.500 dolara satılıyordu. Bugün ise geliştirilmiş sürümleri aylık 10 bin ile 15 bin dolar arasında değişen fiyatlarla hizmet olarak sunuluyor.
Uzmanlar saldırının arkasındaki grubun kim olduğunu netleştiremese de, geçmişte benzer yöntemleri kullanan Black Basta grubuna dikkat çekiyor. Bir dönem tehlikeli fidye yazılımı grupları arasında yer alan Black Basta’nın iç yazışmaları kısa süre önce sızdırılmıştı. Uzmanlar ise saldırganların farklı yöntemlerle şirketleri hedef aldığını ve bu tür saldırılara karşı kullanıcıların dikkatli olması gerektiğini vurguluyor.
