Microsoft’un Güvenlik İstihbarat Ekibi, havacılık endüstrisinde çalışanların, ağlarına sızmaya çalışan kötü amaçlı yazılımcıları aramaları konusunda uyardı. Aktif olarak geliştirilmiş bir yükleyiciyi dağıtan ve ardından uzaktan erişim için truva atları sağlayan öncü kimlik avı e-postalarıyla havacılık ve seyahat sektörlerini hedefleyen sürekli ve dinamik bir hacker grubu konusunda uyarıyorlar.
Kampanya, bir eki açmak için havacılık, seyahat veya kargo ile ilgili meşru kuruluşları (örneğin bu örnekte Airbus Dünya Çapında Aile Sempozyumu) kandıran e-postaları kullanıyor. PDF dosyası olarak görünen bir görüntü, uzaktan erişim için truva atını bilgisayara yükleyen kötü amaçlı bir VBScript indiren gömülü bir bağlantı (genellikle yasal web hizmetlerini kötüye kullanan) içerir.
Truva atları bilgisayarınıza girdikten sonra ek modüller indiriyor, RegAsm, InstallUtil veya RevSvcs gibi işlemlere kod enjekte ediyor ve ardından kimlik bilgilerini, ekran görüntülerini ve web kamerası verilerini, tarayıcı ve pano verilerini, sistemi ve ağı çalıyor ve saldırganın sunucularına veri yüklüyor
Microsoft, etkilenen sektördeki kişileri, henüz saldırıya uğramadıklarını doğrulamaya ve ortamınızdaki ilgili veya benzer etkinlikleri, e-postaları, implantları ve diğer saldırı göstergelerini bulmak için kullanılabilecek gelişmiş arama sorguları yayınlamaya çağırıyor.
