“Occhionero kardeşler” olarak anılan iki İtalyan tanınmış politikacılara ve işadamlarına casusluk yapmak için dikkatli bir şekilde hazırlanmış hedefli oltalama saldırısı ve kötü amaçlı yazılım kullanmakla suçlanarak tutuklandı. Bu dava “EyePhramid” olarak adlandırıldı. (Komplo teorilerini bir kenara bırakın, bu isim araştırma sırasında bulunan bir alan adı ve dizin yolundan üretildi.)

Mahkeme kararı, bir İtalyan haber ajansı olan AGI tarafından 11 Ocak öğlen saatlerinde yayınlandı. Şaşırtıcı bir şekilde, ilk analizimiz için kullandığımız çok teknik ayrıntılar içeriyordu. Bu yazı, bu kampanyanın etkinliklerinin daha eksiksiz ve derinlemesine bir görünümünü sunmak için davanın ayrıntılarını temel almaktadır.

Bu analizin kapsamı

Her gün görülen ve tespit edilen EyePryramid ile ilişkili örnekleri içeren yaklaşık 250 farklı örneği analiz ettik. İlk analizimizden hemen sonra yaklaşık bir düzine şüpheli örnek VirusTotal’a yüklendi ve “#eyepyramid” olarak etiketlendi. Bu örneklerin “yanlış uyarılar” olduğuna inanıyoruz, çünkü örnekler EyePhramid davasıyla kesin ilişkilendirebildiğimiz örneklerden herhangi birine benzemektedir. Bu “yanlış uyarılar” ve orijinal EyePyramid örnekleri arasında hiçbir bağlantı olmadığını %100 kesin olarak söyleyemesek de, bu örnekleri bilerek dışarda tuttuk.

Hedeflenen E-posta Hesapları

Bazı örneklerden elde edilen kanıtlar, saldırganların çeşitli alanlardan gelen e-posta hesaplarını hedef aldığını gösteriyor. Aşağıdaki alan adlarındaki e-posta hesapları hedef alınarak, hem hesapların erişim bilgileri hem de bu hesaplardan gelen mesajlar çalındı :

Yazının devamını orijinalinden okumak için: http://blog.trendmicro.com/trendlabs-security-intelligence/uncovering-inner-workings-eyepyramid/?utm_source=trendlabs-social&utm_campaign=01-2017-inner-workings-of-eyepyramid&utm_medium=smk