Sesli mesaj sandınız, bilgisayarınız ele geçirildi: UpCrypter!

Siber güvenlik araştırmacıları, sahte sesli mesajlar ve satın alma siparişleri kullanarak UpCrypter adlı kötü amaçlı yazılım yükleyicisini dağıtan yeni bir kimlik avı kampanyası tespit etti. Fortinet FortiGuard Labs araştırmacısı Cara Lin, kampanyanın özenle hazırlanmış e-postalar aracılığıyla inandırıcı kimlik avı sayfalarına bağlı kötü amaçlı URL’ler sunduğunu açıkladı. Bu sayfalar alıcıları UpCrypter için bırakıcı görevi gören JavaScript dosyalarını indirmeye ikna edecek şekilde tasarlandı.

Google Classroom üzerinden 115 bin sahte e-posta

Ağustos 2025’in başından beri kötü amaçlı yazılımı yayan saldırılar dünya genelinde üretim, teknoloji, sağlık, inşaat ve perakende/konaklama sektörlerini hedef alıyor. Enfeksiyonların büyük çoğunluğu Avusturya, Belarus, Kanada, Mısır, Hindistan ve Pakistan’da görüldü.

UpCrypter, PureHVNC RAT, DCRat (DarkCrystal RAT olarak da bilinir) ve Babylon RAT gibi çeşitli uzaktan erişim araçları için bir kanal işlevi görüyor. Bu araçların her biri saldırganın ele geçirilen bilgisayarların tam kontrolünü ele almasını sağlıyor.

Enfeksiyon zincirinin başlangıç noktası, sesli mesaj ve satın alma konularını kullanan kimlik avı e-postaları. Bu e-postalar alıcıları sahte açılış sayfalarına yönlendiren bağlantılara tıklamaya kandırıyor. Buradan sesli mesajı veya PDF belgesini indirmeleri isteniyor.

Fortinet, tuzak sayfasının kurbanın alan adı dizesini başlığında göstererek ve alan adının logosunu sayfa içeriğine yerleştirerek inandırıcı görünecek şekilde tasarlandığını belirtti. Sayfanın temel amacı kötü amaçlı bir indirme sağlamak.

İndirilen yük, gizlenmiş bir JavaScript dosyası içeren bir ZIP arşivi. Bu dosya daha sonra bir sonraki aşama kötü amaçlı yazılımı almak için harici bir sunucuyla iletişime geçiyor. Ancak bunu yapmadan önce internet bağlantısını doğruluyor ve adli araçlar, hata ayıklayıcılar veya sandbox ortamları için çalışan süreçleri tarıyor.

Yükleyici, son yükü düz metin biçiminde veya zararsız görünen bir görüntünün içine gömülü olarak almak için aynı sunucuyla iletişime geçiyor. Bu tekniğe steganografi deniliyor.

Fortinet, UpCrypter’ın ayrıca JavaScript muadili gibi anti-analiz ve anti-sanal makine kontrolleri yapan bir MSIL (Microsoft Intermediate Language) yükleyicisi olarak da dağıtıldığını söyledi. Bundan sonra üç farklı yük indiriyor: gizlenmiş bir PowerShell betiği, bir DLL ve ana yük.

Saldırı, betiğin yürütme sırasında DLL yükleyicisinden ve yükten veri gömmesiyle sonuçlanıyor. Bu sayede kötü amaçlı yazılım dosya sistemine yazılmadan çalıştırılabiliyor. Bu yaklaşım aynı zamanda adli izleri en aza indirme avantajına sahip ve kötü amaçlı yazılımın radarın altında kalmasını sağlıyor.

Lin, aktif olarak bakımı yapılan bir yükleyici, katmanlı gizleme ve çeşitli RAT teslimatının birleşiminin, savunmaları aşabilen ve farklı ortamlarda kalıcılığı sürdürebilen uyarlanabilir bir tehdit teslimat ekosistemi gösterdiğini söyledi.

Bu açıklama, Check Point’in 6-12 Ağustos 2025 tarihleri arasında birden fazla sektördeki 13.500 organizasyona yönelik 115.000’den fazla kimlik avı e-postası dağıtmak için Google Classroom’u kötüye kullanan büyük ölçekli bir kimlik avı kampanyasını detaylandırmasıyla birlikte geldi. Saldırılar Avrupa, Kuzey Amerika, Orta Doğu ve Asya’daki organizasyonları hedef alıyor.

Check Point, saldırganların ürün yeniden satış tekliflerinden SEO hizmetlerine kadar ilgisiz ticari teklifler içeren sahte davetiyeler göndererek bu güveni istismar ettiğini söyledi. Her e-posta alıcıları dolandırıcılarla WhatsApp telefon numarası üzerinden iletişime geçmeye yönlendirdi. Bu taktik genellikle dolandırıcılık planlarıyla bağlantılı.

Saldırı, Google Classroom altyapısının güven ve itibarını kullanarak SPF, DKIM ve DMARC gibi temel e-posta kimlik doğrulama protokollerini atlatıyor ve kimlik avı e-postalarının kullanıcıların gelen kutularına ulaşmasına yardımcı oluyor. Bu nedenle güvenlik sistemlerini atlatıyor.

Bu kampanyalar, tehdit aktörlerinin Microsoft 365 Direct Send ve OneNote gibi meşru hizmetleri kötüye kullandığı daha büyük bir trendin parçası. Vercel ve Flazio gibi ücretsiz yapay zeka destekli web sitesi oluşturucularının yanı sıra Discord CDN, SendGrid, Zoom, ClickFunnels, Jotform ve X’in t[.]co bağlantı kısaltıcısı gibi hizmetleri de kötüye kullanıyorlar. Bu yaklaşıma güvenilir sitelerden yararlanma (LOTS) deniyor.

Varonis geçen ay yayınladığı raporda, tehdit aktörünün bir kimlik avı saldırısı yoluyla bir organizasyondaki bir kullanıcının M365 kimlik bilgilerini ele geçirdikten sonra, ele geçirilen kullanıcının OneDrive’daki kişisel Belgeler klasöründe bir OneNote dosyası oluşturduğunu ve bir sonraki kimlik avı aşaması için tuzak URL’yi yerleştirdiğini belirtti.

Direct Send’in kötüye kullanılması Microsoft’u organizasyonlar için “Direct Send’i Reddet” adlı bir seçenek sunmaya itti. Alternatif olarak müşteriler, dahili iletişim olduğunu iddia eden ancak gerçekte olmayan e-postaları tespit etmek için özel başlık damgalama ve karantina politikaları da uygulayabilir.

Bu gelişmeler, saldırganların hem otomatik algılama sistemlerinin hem de insan analistlerin önünde kalmak için kimlik avı sayfalarında istemci tarafı kaçınma tekniklerine giderek daha fazla güvenmesiyle birlikte geldi. Bu, JavaScript tabanlı engelleme, Tarayıcı İçinde Tarayıcı (BitB) şablonları ve sayfaları noVNC kullanarak sanal masaüstü ortamlarında barındırmayı içeriyor.

Doppel, popülaritesi artan dikkate değer bir yöntemin JavaScript tabanlı anti-analiz betiklerinin kullanımı olduğunu söyledi. Bunlar kimlik avı sayfalarına, sahte teknik destek sitelerine ve kötü amaçlı yönlendirmelere gömülü küçük ama etkili kod parçaları. Herhangi bir aktivite tespit edildiğinde site kullanıcıyı hemen boş bir sayfaya yönlendiriyor veya daha fazla etkileşimi devre dışı bırakarak daha derin bir inceleme yapılmadan önce erişimi engelliyor.