Ocak 2019’da kötü amaçlı JavaScript e-posta eklerinin sayısındaki artışın gözlenmesiyle, ESET araştırmacıları Rus kullanıcılarını hedefleyen büyük bir fidye yazılımı spam dalgasını algıladı.
2018’in çoğunda uykuda bekleyen bir saldırı vektörü, Ocak 2019’da uyanarak, kötü amaçlı JavaScript e-posta eklerinin tespitlerinde dramatik bir yükseliş gösterdi. Bu vektöre dayanan kötü amaçlı istenmeyen posta hareketlerinin “Yeni Yıl sürümleri” içinde, Shade veya Troldesh olarak bilinen fidye yazılımını dağıtan ve ESET tarafından Win32/Filecoder .Shade olarak algılanan yeni bir Rusça spamı dalgası tespit ettik. Bu hareket, Ekim 2018’de fidye yazılımı Shade’i dağıtmaya başlayan zararlı spam hareketinin devamı gibi görünüyor.
Ocak 2019 kampanyası
Telemetremiz gösteriyor ki, Ekim 2018 kampanyası, Aralık 2018’in ortasına kadar belirli bir tempoda ilerlerken, Noel’de duruluyor ve Ocak 2019 ortasında boyutu ikiye katlanarak devam ediyor. Grafikteki düşüşler hafta sonlarına denk geliyor, bu da saldırganların şirket e-posta adreslerini tercih ettiğine işaret ediyor.
Daha önce belirttiğimiz gibi, bu kampanya, 2019’un başından beri geri dönüşünü gözlemlediğimiz daha büyük bir akım olan, JavaScript eklerinin yaygın olarak kullanıldığı bir saldırı vektörünün parçasıdır.
Özellikle, Ocak 2019’da Shade fidye yazılımını yayan kampanya, bunun gibi zararlı JavaScript eklerinin toplamının %52’si ile Rusya’da en aktif görüleni olmuştur. Etkilenen diğer ülkeler arasında Ukrayna, Fransa, Almanya ve Japonya bulunmaktadır.
Analizimize göre, Ocak 2019 kampanyasındaki tipik bir saldırı, “info.zip” veya “inf.zip” adında bir ZIP arşivi ekiyle birlikte gönderilen Rusça bir e-posta ile başlıyor.
Bu zararlı e-postalar, gerçek bir Rus firmasından gönderilen sipariş güncelleme e-postaları gibi görünüyor. Gördüğümüz e-postalar Rus bankası B&N Bank (yakın zamanda Otkritie Bank ile birleşti) ve perakende zinciri Magnit’i taklit ediyor.
Konuyla ilgili ESET makalesinin tamamını okumak için buradaki bağlantıyı ziyaret edebilirsiniz.