En son HP Tehdit Analizleri Raporu, saldırganların günlük uygulamalara duyulan güveni sömürmek için görsel aldatmayı nasıl mükemmelleştirdiklerini gösteren, son derece özenle hazırlanmış sahte PDF okuyucu tuzaklarını ortaya çıkarıyor.

HP Inc., en son Tehdit Analizleri Raporu’nu yayımlayarak, eski living-off-the-land (LOTL) ve oltalama tekniklerinin geleneksel tespit tabanlı güvenlik araçlarını atlatacak şekilde nasıl evrildiğini ortaya koydu. Bir bilgisayarda yerleşik meşru araçların ve özelliklerin saldırılar için kullanıldığı LOTL teknikleri, uzun zamandır tehdit aktörlerinin araç setinin temel parçalarından biri olarak biliniyor. Ancak HP Tehdit Araştırmacıları, tek bir kampanyada birden fazla, çoğu zaman da alışılmadık ikili dosyanın kullanılmasının, kötü amaçlı faaliyetle meşru faaliyet arasındaki farkı ayırt etmeyi daha da zorlaştırdığı konusunda uyarıyor.

Rapor, gerçek dünyadaki siber saldırıların bir analizini sunarak, kurumların hızla değişen siber suç ortamında siber suçluların tespit edilmekten kaçınmak ve bilgisayarları ihlal etmek için kullandıkları en son teknikleri takip etmelerine yardımcı oluyor. HP Wolf Security çalıştıran milyonlarca uç noktaya dayanarak, HP Tehdit Araştırmacıları tarafından tespit edilen önemli saldırılar şunlar:

  • Sahte Adobe Reader Faturası, Ultra Parlak Sosyal Mühendislik Tuzaklarının Yeni Dalgasına İşaret Ediyor: Saldırganlar, saldırganlara kurbanın cihazı üzerinde kontrol sağlayan bir komut dosyası olan bir ters kabuk yerleştirdi. Komut dosyası, sahte yükleme çubuğu ile tamamlanan çok gerçekçi bir Adobe Acrobat Reader dosyası olarak gizlenmiş küçük bir SVG görüntüsüne gömüldü ve devam eden bir yükleme izlenimi vererek kurbanların dosyayı açma ve bir enfeksiyon zincirini tetikleme şansını artırdı. Saldırganlar ayrıca maruz kalmayı sınırlamak, otomatik analiz sistemlerini engellemek ve tespiti geciktirmek için indirmeyi Almanca konuşulan bölgelere coğrafi olarak sınırlandırdı.
  • Saldırganlar Piksel Görüntü Dosyalarında Zararlı Yazılım Gizliyor: Saldırganlar Microsoft Complied HTML Yardım dosyalarını görüntü pikselleri içinde kötü amaçlı kod gizlemek için kullandılar. Proje belgeleri olarak gizlenen dosyalar, piksel verilerine bir XWorm yükü gizledi ve bu yük daha sonra ayıklanarak birden fazla LOTL tekniği içeren çok adımlı bir bulaşma zincirini yürütmek için kullanıldı. PowerShell ayrıca indirildikten ve çalıştırıldıktan sonra dosyaların kanıtlarını silen bir CMD dosyasını çalıştırmak için de kullanıldı.
  • Yeniden Yükselişe Geçen Lumma Stealer IMG Arşivleri Aracılığıyla Yayılıyor: Lumma Stealer 2. çeyrekte gözlemlenen en aktif zararlı yazılım ailelerinden biriydi. Saldırganlar, güvenlik filtrelerini atlamak ve güvenilir sistemleri istismar etmek için LOTL tekniklerini kullanan IMG Arşiv ekleri de dahil olmak üzere birden fazla kanal aracılığıyla dağıttı. Mayıs 2025’teki kolluk kuvvetleri baskısına rağmen, saldırılar haziran ayında da devam etti ve grup şimdiden daha fazla alan adı kaydetmeye ve altyapı oluşturmaya başladı.

Nisan-Haziran 2025 verilerini inceleyen rapor, siber suçluların tespit etmeye dayalı güvenlik araçlarını atlamak için saldırı yöntemlerini nasıl çeşitlendirmeye devam ettiklerini detaylandırıyor:

  • HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az %13’ü bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
  • Arşiv dosyaları en popüler gönderim türü olurken (%40), bunu çalıştırılabilir dosyalar ve komut dosyaları (%35) takip etti.
  • Saldırganlar .rar arşiv dosyalarını kullanmaya devam ediyor (%26), bu da saldırganların şüphe uyandırmamak için WinRAR gibi güvenilir yazılımlardan faydalandığını gösteriyor.
Ferhat Verdi
Ferhat Verdi
FinTech İstanbul yazı işleri müdürü. Almanya'da doğdu. İstanbul Üniversitesi Gazetecilik Bölümü mezunu. ShiftDelete.Net ve İstanbul Büyükşehir Belediyesi'nde yazı işleri müdürlüğü yaptı. DijitalHarf içerik ajansının kurucusu, ayrıca Bankalararası Kart Merkezi, MediaMarkt, Apple gibi kuruluşlar için içerikler üretiyor.
Linkedin Mail Medium Twitter