FakeUpdates, Remcos, AgentTesla Gizli Saldırı Dalgasında Kötü Amaçlı Yazılım Grafiklerinin Başında

Check Point'in Nisan 2025 kötü amaçlı yazılım raporu, FakeUpdates, Remcos ve AgentTesla gibi bilindik kötü amaçlı yazılımları kullanan giderek daha karmaşık ve gizli saldırıları ortaya koyuyor. Eğitim, en çok hedef alınan sektör olmaya devam ediyor. En son siber tehditler ve nasıl korunacağınız hakkında bilgi edinin.

Check Point Research (CPR), saldırganların zararlı yazılımları iletmek için daha karmaşık ve sinsi yöntemler kullanmalarına ilişkin endişe verici bir eğilimi tanımlayan Nisan 2025 bulgularını açıkladı. Bazı iyi bilinen kötü amaçlı yazılım aileleri yaygınlığını sürdürse de, sistemleri enfekte etmek için kullanılan yöntemler daha karmaşık hale geliyor ve tespit edilmeleri zorlaşıyor.

CPR'ye göre, Nisan ayında keşfedilen saldırıların çoğu sipariş onayları olarak gizlenmiş kimlik avı e-postalarını içeriyordu. Bu e-postalar, AgentTesla, Remcos ve XLoader gibi yaygın kötü amaçlı yazılımların yüklenmesine yol açan şifreli talimatları yayınlayan gizli bir 7-Zip dosyası içeriyordu.

Saldırılar, iyi gizlenmiş yapıları, kodlanmış betikler kullanmaları ve meşru Windows süreçlerine kötü amaçlı yazılım enjekte etmeleri nedeniyle özellikle endişe vericiydi. Araştırmacılar ayrıca, "gelişmiş tehdit aktörü taktikleriyle ticari araçların tehlikeli bir şekilde birleşmesi"nin, temel kötü amaçlı yazılımların bile artık oldukça karmaşık operasyonlarda kullanıldığı anlamına geldiğini fark ettiler, CPR'nin blog yazısında okundu.

Bu yeni sinsi yöntemlere rağmen, Nisan ayında en yaygın kötü amaçlı yazılımlar listesinde yine de bazı tanıdık isimler ilk sırada yer aldı. Bunlardan bazıları şunlardır:

Bu kötü amaçlı yazılım, küresel olarak kuruluşların %6'sını etkileyerek en yaygın olanı olmaya devam etti. Kullanıcıları tehlikeye atılmış web sitelerinden sahte tarayıcı güncellemeleri yüklemeye kandıran bu yazılım, Rus hack grubu Evil Corp ile ilişkilendirildi ve daha fazla kötü amaçlı yazılım sunmak için kullanılıyor.

Genellikle kimlik avı e-postalarındaki kötü amaçlı belgeler aracılığıyla yayılan bu uzaktan erişim aracı, Windows güvenlik özelliklerini aşarak saldırganlara virüslü sistemler üzerinde üst düzey kontrol sağlayabilir.

Gelişmiş bir araç olan AgentTesla, tuş vuruşlarını kaydedebilir, parolaları çalabilir, ekran görüntüleri alabilir ve çeşitli uygulamalar için oturum açma ayrıntılarını ele geçirebilir. Çevrimiçi olarak açıkça satılmaktadır.

Kötü amaçlı yazılım ailelerinin analizi, hassas bilgileri çalmak için web uygulamalarını hedef alan Androxgh0st kullanımında bir artış olduğunu ortaya koyarken, uzaktan erişim aracı AsyncRat'ın kullanımı azaldı. İlk ona dahil edilen diğer önemli aileler arasında Formbook , Lumma Stealer , Phorpiex, Amadey ve Raspberry Robin yer alıyor.

Nisan ayında, SatanLock yeni bir fidye yazılımı grubu olarak ortaya çıktı ve veri sızıntısı sitelerinde çok sayıda kurban listeledi. Ancak, bu kurbanların çoğu zaten başka gruplar tarafından talep edilmişti ve bu da siber suç topluluğu içinde potansiyel olarak rekabetçi bir ortamın olduğunu gösteriyordu. Dahası, Akira en yaygın fidye yazılımı grubuydu, onu SatanLock ve Qilin takip ediyordu.

Mobil cihazlar önemli bir hedef olmaya devam ediyor ve Nisan ayında mobil kötü amaçlı yazılımlar listesinde Anubis , AhMyth ve Hydra başı çekiyor. En endişe verici olanı ise bu kötü amaçlı yazılımların giderek daha karmaşık hale gelmesi, uzaktan erişim, fidye yazılımı yetenekleri ve çok faktörlü kimlik doğrulama müdahaleleri sunması.

Ayrıca, üçüncü ay üst üste, eğitim sektörü küresel olarak en savunmasız sektör olmaya devam etti, muhtemelen büyük kullanıcı tabanı ve zayıf siber güvenlik altyapısı nedeniyle. Hükümet ve telekomünikasyon sektörleri yakından takip etti. Oysa, bölgesel analizler değişen kötü amaçlı yazılım eğilimlerini gösterdi, Latin Amerika ve Doğu Avrupa daha fazla FakeUpdates ve Phorpiex yaşadı ve Asya Remco'ların ve AgentTesla'nın artan aktivitesine tanık oldu.

CPR, giderek karmaşıklaşan ve sürekli hale gelen siber tehdit ortamı göz önüne alındığında, kuruluşların kimlik avı konusunda çalışanlara eğitim verilmesi, düzenli yazılım güncellemeleri ve bu karmaşık saldırıların zarara yol açmadan önce tespit edilip engellenmesi için gelişmiş tehdit önleme çözümlerinin uygulanması gibi "önce önleme" stratejisini benimsemelerini öneriyor.