Şu anda kripto para ticaretine katılan kullanıcıları hedefleyen Reddit yayınları aracılığıyla dağıtılan Mac ve Windows Stealers’a uyarıldık. Common Lures’tan biri, popüler ticaret platformu TradingView’in çatlamış bir yazılım versiyonudur.
Dolandırıcılar, sırasıyla Lumma Stealer ve Atomik Stealer (AMOS) ile bağlanmış hem Windows hem de MAC yükleyicilerine bağlantılar yayınlıyor.
Bu iki kötü amaçlı yazılım ailesi, kurbanların kişisel verilerini yağmaladı ve distribütörlerinin çoğunlukla kripto para cüzdanlarını ele geçirerek önemli kazançlar elde etmesini sağladı.
Reddit Posts Hedef kripto meraklıları
Dolandırıcılar, kripto para tüccarları tarafından ziyaret edilen alt dizeler üzerinde gizleniyor ve hisse senetleri, forex, kripto para ve mallar dahil finansal piyasaları analiz etmek için grafik araçları sağlayan web tabanlı bir platform ve sosyal ağ olan TradingView’a ücretsiz erişim hakkında bilgi veriyor.
Teklif, programların tamamen ücretsiz olduğunu ve doğrudan resmi sürümlerinden, premium özelliklerin kilidini açtığını iddia ediyor.
Orijinal gönderi, bu dosyaları kendi sorumluluğunuzda yüklediğinize dair bir başlık verirken, iş parçacığında daha da aşağıda OP’den yorumları okuyabiliriz.Mac’teki gerçek bir virüs vahşi olurdu“.
Her iki bağlantıyı da kontrol ettik ve dosyaları barındıran web sitesinin bir Dubai temizleme şirketine ait olduğunu fark ettik. Kodlarını doğrudan kontrol ettikleri bir sunucu aracılığıyla yükleme ve güncelleme yeteneğini istemedikçe, dolandırıcıların neden mega veya benzeri bir hizmet seçmedikleri tam olarak belli değil.
Bu web sitesini kontrol ettikten sonra, PHP sürümünü (7.3.33) sızdırdığını görebiliriz. Zaten Aralık 2021’de yaşam sonuna ulaştı ve artık resmi güvenlik güncellemeleri almıyor ve bu da sömürülmeye ve uzlaşmaya eğilimli hale getiriyor.
Çift fermuarlı kötü amaçlı yazılım
Hem Mac hem de Windows dosyaları çift sıkıştırılmıştır, son fermuarlı şifre korumalıdır. Karşılaştırma için, meşru bir yürütülebilir dosyanın böyle bir şekilde dağıtılması gerekmez.
Mac’te yükleyici, popüler bir macOS stealer olan Amos’un yeni bir çeşididir. En son yinelemelerinde, kötü amaçlı kod, herhangi bir tespit ederse 42 hata kodu olan sanal makinelerin ve çıkışları kontrol eder.
osascript -e "set memData to do shell script \"system_profiler SPMemoryDataType\"
if memData contains \"QEMU\" or memData contains \"VMware\" then
do shell script \"exit 42\"
else
do shell script \"exit 0\"
end if"
Komut dosyasının tüm analizi, Seychelles’de barındırılan bir sunucu olan 45.140.13.244’e bir Post İsteği ile kullanıcı verilerini açıklayan işlevi gösterir:
Windows’ta yük, şaşkın bir yarasa dosyası ile yüklenir (Costs.tiff.bat) kötü amaçlı bir otomatik komut dosyası çalıştıran (Sad .com):
"C:\Windows\system32\cmd.exe" /c expand Costs.tiff Costs.tiff.bat & Costs.tiff.batcmd /c copy /b 701617\Sad.com + Io + Thin + Experiment + Detect + Subsection + Meter + Well + Walls + Substantially + Mcdonald 701617\Sad.com
Burada kötü amaçlı yazılım komutu ve kontrol sunucusu kuzek[.]YBÜyaklaşık bir hafta önce Rusya’da biri tarafından kaydedildi.
Kripto cüzdanları boşaltılan kurbanları duyduk ve daha sonra temaslarına kimlik avı bağlantıları gönderen suçlular tarafından taklit edilen kurbanları duyduk.
Çözüm
Çatlak yazılım onlarca yıldır kötü amaçlı yazılım içermeye eğilimlidir, ancak açık bir şekilde ücretsiz öğle yemeğinin cazibesi hala çok çekici. Bu özel şemada ilginç olan şey, orijinal posterin ne kadar dahil olduğu, iş parçacığından geçmesi ve sorular soran veya bir sorunu bildiren kullanıcılara ‘yararlı’ olmasıdır.
İşte dikkat edilmesi ve güvende kalması gereken bazı şeyler:
- Programın çalışabilmesi için güvenlik yazılımını devre dışı bırakmak için talimatlar (sizi korumaya çalışan antivirüsü devre dışı bırakmayın!)
- Parola korumalı dosyalar (bu, güvenlik tarayıcılarını engellemek için yaygın bir uygulamadır)
- şüpheli çevrimiçi platformlarda barındırılan dosyalar
Ancak, özellikle öneri bir arkadaştan geldiyse, bu dolandırıcılık için düşmek hala kolaydır. MalwareBebytes hem Mac hem de Windows yüklerinden korur.
Sadece tehditler hakkında rapor vermiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Bugün MalwareBebytes’i indirerek tehditleri cihazlarınızdan uzak tutun.