Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacıların Raporuna göre Tarayıcı Verileri, Kripto Cüzdanlar ve Sohbet Uygulamaları da En Önemli Hedefler
Mathew J. Schwartz (euroinfosec) •
13 Kasım 2023
Siber suçlular arasındaki şüpheli popülerlik yarışında, Redline Stealer, kripto para cüzdanı ve uzaktan erişim kimlik bilgileri de dahil olmak üzere kazançlı ve hassas verileri çalmak için tasarlanmış kötü amaçlı yazılımlara karşı saldırganların açık ara en iyi tercihi gibi görünüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Bilgi çalan kötü amaçlı yazılımlar veya bilgi çalan yazılımlar, çeşitli biçimlerde ortaya çıkar ve e-ticaret hesaplarına ve banka hesaplarına erişim için kimlik bilgilerinin çalınmasını, tarayıcılardan oturum çerezlerinin ve kaydedilmiş şifrelerin çalınmasını veya çok faktörlü kimlik doğrulama kimlik bilgilerinin atlanmasını ve diğer kazançlı türde kimlik bilgilerinin çalınmasını kolaylaştırır. veri.
Trend Micro yeni bir raporunda, “Siber suçlular, kurbanların kimliğine bürünmek için çalınan kimlik bilgilerini satabilir, bir VPN kullanarak kurumsal ağlarına girebilir, başka türde dolandırıcılık yapabilir veya bu tür kimlik bilgilerini başkalarına satabilir” dedi.
Trend Micro, VirusTotal’a yüklenen bilgilere dayanarak RedLine bilgi hırsızının en çok indirilenler yarışını kazandığını söyledi. Diğer popüler bilgi hırsızlarının arasında LokiBot, Mars ve Aurora’nın yanı sıra Vidar, Raccoon ve Rhadamanthys de yer alıyor.
“Bot” olarak bilinen virüs bulaşmış bir sistemden çalınan her bilgi grubu, RussianMarket ve TwoEasy – diğer adıyla 2easy.shop gibi özel pazarlarda veya BHF ve Dark2Web gibi forumlar aracılığıyla bir “log” olarak satışa sunulabilir. ve Tehdit istihbarat firması Kela’ya göre Telegram mesajlaşma uygulaması kanalları (bkz.: Bilgi Çalan Kötü Amaçlı Yazılımlar ‘Günlük Bulutu’ Tekliflerini Dolduruyor).
Trend Micro araştırmacıları, yalnızca RedLine bilgi hırsızı kullanılarak çalınan verileri satan TwoEasy’de en fazla sayıda logun Hindistan’daki kurbanlardan geldiğini, ardından Brezilya, Endonezya, Mısır ve Nijerya’nın geldiğini buldu. RussianMarket’te en fazla tomruk Portekiz’den geldi, onu Brezilya, Yunanistan, Mısır ve Singapur izledi. Araştırmacılar, suçluların muhtemelen aynı çalıntı verileri her iki pazarda da çapraz sattığını söyledi.
Çalınan Tarayıcı Verileri Kazançlı Kalmaya Devam Ediyor
Satışa sunulanlara bağlı olarak bilgi hırsızları tarafından en sık çalınan bilgiler, özellikle e-ticaret ve bankacılık siteleri aracılığıyla dolandırıcılık ve hırsızlığı kolaylaştırmak için web sitesi kimlik bilgileri de dahil olmak üzere tarayıcı verileridir. Araştırmacılar, “Tarayıcı verilerinin, kimlik doğrulama çerezleri, saklanan kredi kartları, kimlik bilgileri, şifreler ve gezinme geçmişi dahil olmak üzere hassas bilgilerden oluşan bir hazine olduğu göz önüne alındığında, bu şaşırtıcı değil” diye yazdı.
Araştırmacılar, Google Chrome, Firefox, Edge ve Opera dahil olmak üzere Chromium veya Proton mimarilerini temel alan tarayıcıların ötesinde, birçok bilgi hırsızının aynı zamanda “belirsiz veya eski tarayıcıları” da hedef aldığını buldu.
Bir diğer önemli hedef ise saldırganların potansiyel olarak doğrudan nakde çevirebileceği kripto para cüzdanı kimlik bilgileridir. Ayrıca araştırmacılar, saldırganların mağdurları sosyal mühendislik yoluyla denemek ve sosyal mühendislik yapmak için düzenli olarak kötüye kullandığını söylediği sohbet uygulaması kimlik bilgilerinin yanı sıra, çalınan FTP ve e-posta uygulaması kimlik bilgileri ve VPN kimlik bilgileri de popülerdir.
Trend Micro, kimlik bilgilerinin çalınıp satışa sunulduğu web sitelerinin başında Google, Live.com, Facebook, Instagram, Steam, GitHub ve Spotify’ın geldiğini bildirdi.
Bazı ulus devlet grupları, siber casusluk amacıyla hazır seçenekler de dahil olmak üzere bilgi hırsızı kötü amaçlı yazılımlar da kullanıyor.
Çalınan verilere yönelik pazaryerleri ve bunların uzman kullanıcıları, emniyet teşkilatlarının başlıca hedefleri olmaya devam ediyor. Nisan ayında, Kurabiye Canavarı Operasyonu adı verilen koordineli bir operasyonla, uluslararası kolluk kuvvetleri, o zamanlar dünyanın en büyük çalıntı kimlik bilgileri pazarı olan Genesis Market’i dağıttı. Polis, Genesis’in kaldırıldığında 1,5 milyon kimlik bilgisini satışa sunduğunu ve 2017 lansmanından bu yana 80 milyondan fazla çalıntı kimlik bilgisini ele aldığını bildirdi (bkz: Polislerin Genesis Piyasasını Ele Geçirmesi: Kurabiye Pazarı Nasıl Çöktü?).
Yenilik Boldur
Şiddetli rekabete ve her zaman mevcut olan yayından kaldırma tehdidine rağmen, yeni gelenlerin sürekli olarak çıkış yapması ve mevcut oyuncuların tekliflerini düzenli olarak yenilemesiyle bilgi hırsızlığı yenilikleri devam ediyor.
VMware’in Carbon Black tehdit araştırma ekibi geçen hafta, kurumsal ağları hedef alan ilk 10 bilgi hırsızından birinin Polazert, SolarMarker/Deimos ve Yellow Cockatoo olarak da anılan Jupyter olduğunu bildirdi. Araştırmacılar, bilgi çalan yazılımın, genellikle yasal bir yükleyici gibi görünen kötü amaçlı web siteleri, rastgele indirmeler ve kimlik avı kampanyaları da dahil olmak üzere çeşitli yaygın dağıtım taktikleri yoluyla yayıldığını söyledi.
İlk kez 2020’de keşfedilen saldırganlar, daha önce de arama motoru optimizasyonu zehirleme tekniklerini kullanarak kötü amaçlı yazılımı yaymıştı. 2022’nin başında BlackBerry’deki araştırmacılar, kötü amaçlı yazılımın genellikle “meşru, imzalı yazılımlarla birlikte paketlendiği” ve “tehdidin kurbanın sistemine yerleştirilmeden önce tespit edilmesini zorlaştıran” bir hile olduğu konusunda uyardı.
Kripto cüzdanları Jupyter’in en önemli hedeflerinden biri olmaya devam ediyor. BlackBerry’nin bildirdiğine göre kötü amaçlı yazılım, Atomic, Guarda, SimplEOS ve NEON dahil olmak üzere 17 farklı cüzdan türüne bağlı veri dosyalarının yanı sıra “cüzdan” kelimesine dayalı joker karakterli dosya adlarının yanı sıra OpenVPN ve uzak masaüstü protokolü kimlik bilgilerini de arıyor. .
Checkmarx güvenlik araştırmacısı Yehuda Gelb, bu yıl boyunca BlazeStealer adı verilen ve Python komut dosyalarını kullanan yeni bir tür bilgi hırsızlığı yapan kötü amaçlı yazılımın ortaya çıktığını ve birçok revizyondan geçtiğini bildirdi.
Bu “görünüşte meşru Python gizleme paketleri”, saldırganlara bir sisteme uzaktan erişim sağlayan, verileri çalmalarına, bir keylogger’ı etkinleştirmelerine, web kamerası aracılığıyla ekran görüntüleri ve videolar yakalamalarına, dosyaları şifrelemelerine ve bazı yüklü yazılım türlerini devre dışı bırakmalarına olanak tanıyan bir Discord botu çalıştırmak için tasarlanmıştır. güvenlik araçları dedi.
Tehdit istihbarat firması Cyberint’te güvenlik araştırmacısı olan Coral Tayar’ın bildirdiğine göre, yeni gelenlerden bir diğeri de, geçen ay piyasaya sürülen ve çeşitli hassas verileri çalmak üzere tasarlanan, görünüşe göre Rus yapımı bir hizmet olarak kötü amaçlı yazılım operasyonu olan Continental Stealer.
Hırsızın abonelik fiyatının aylık 120 dolar, üç aylık 300 dolar veya ömür boyu abonelik için 540 dolar olduğunu ve kullanıcının kötü amaçlı bir oluşturucu oluşturmasına, onu uzaktan kontrol etmesine ve ilgili istatistikleri görüntülemesine olanak tanıyan çevrimiçi bir panele erişimi de içerdiğini söyledi. “Continental Stealer’ın kullanıcı arayüzü, kullanıcı dostu olacak şekilde tasarlandı; bir giriş paneli ve günlükler, şifreler, kripto para cüzdanları ve kredi kartı bilgileriyle ilgili istatistikleri gösteren operasyonel bir kontrol paneli sunuyor” dedi. “Bu kontrol paneli yalnızca önemli bilgiler sağlamakla kalmıyor, aynı zamanda günlük indirmelerini de kolaylaştırıyor.”