Check Point Software’in en son tehdit endeksi, Lumma Stealer gibi bilgi hırsızlarının sayısında önemli bir artış olduğunu ortaya koyarken, Necro gibi mobil kötü amaçlı yazılımların önemli bir tehdit oluşturmaya devam ettiğini ortaya koyuyor ve dünya çapında siber suçlular tarafından kullanılan gelişen taktikleri vurguluyor.
Geçen ay araştırmacılar, sahte CAPTCHA sayfalarının Lumma Stealer kötü amaçlı yazılımını dağıtmak için kullanıldığı bir enfeksiyon zinciri keşfetti ve bu, aylık en iyi kötü amaçlı yazılım sıralamasında 4. sıraya yükseldi.
Bu kampanya, küresel erişimiyle dikkat çekiyor ve birden fazla ülkeyi iki ana enfeksiyon vektörü aracılığıyla etkiliyor: biri kırık oyun indirme URL’lerini içeriyor, diğeri ise yenilikçi bir saldırı vektörü olarak GitHub kullanıcılarını hedef alan kimlik avı e-postaları aracılığıyla. Bulaşma süreci, kurbanları panolarına kopyalanan kötü amaçlı bir komut dosyasını çalıştırmaya yönlendiriyor ve bilgi hırsızlarının artan yaygınlığını, siber suçluların ele geçirilen sistemlerden kimlik bilgilerini ve hassas verileri sızdırması için etkili bir araç olarak gösteriyor.
Mobil kötü amaçlı yazılım alanında, Necro’nun yeni sürümü önemli bir tehdit olarak ortaya çıktı ve mobil kötü amaçlı yazılımlar arasında 2. sırada yer aldı. Necro, Google Play’de bulunan oyun modları da dahil olmak üzere çeşitli popüler uygulamalara, 11 milyondan fazla Android cihazdan oluşan kümülatif bir kitleye bulaştı.
Kötü amaçlı yazılım, tespit edilmekten kaçmak için gizleme teknikleri kullanır ve tespit edilmekten kaçınmak ve yüklerini gizlemek için bilgileri başka bir mesaj veya fiziksel nesne içinde gizleme uygulaması olan steganografiyi kullanır. Etkinleştirildiğinde, reklamları görünmez pencerelerde görüntüleyebilir, onlarla etkileşime girebilir ve hatta kurbanları ücretli hizmetlere abone ederek saldırganların operasyonlarından para kazanmak için kullandıkları gelişen taktikleri vurguluyor.
Sofistike bilgi hırsızlarının yükselişi büyüyen bir gerçeğin altını çiziyor. Siber suçlular yöntemlerini geliştiriyor ve yenilikçi saldırı vektörlerinden yararlanıyor. Kuruluşlar, bu kalıcı zorluklara etkili bir şekilde karşı koymak için, ortaya çıkan tehditleri öngören proaktif ve uyarlanabilir güvenlik önlemlerini benimseyerek geleneksel savunmaların ötesine geçmelidir.
En iyi kötü amaçlı yazılım aileleri
FakeUpdates, dünya çapındaki kuruluşlarda %6’lık bir etkiyle bu ay en yaygın kötü amaçlı yazılım olurken, bunu %5’lik küresel bir etkiyle Androxgh0st ve %4’lük küresel bir etkiyle AgentTesla takip ediyor.
SahteGüncellemeler – FakeUpdates (AKA SocGholish) JavaScript ile yazılmış bir indiricidir. Yükleri başlatmadan önce diske yazar. FakeUpdates, GootLoader, Dridex, NetSupport, DoppelPaymer ve AZORult dahil olmak üzere birçok ek kötü amaçlı yazılım yoluyla daha fazla tehlikeye yol açtı.
Androxgh0st – Androxgh0st, Windows, Mac ve Linux platformlarını hedef alan bir botnettir. İlk enfeksiyon için Androxgh0st, özellikle PHPUnit, Laravel Framework ve Apache Web Sunucusunu hedef alarak birden fazla güvenlik açığından yararlanıyor. Kötü amaçlı yazılım, Twilio hesap bilgileri, SMTP kimlik bilgileri, AWS anahtarı vb. gibi hassas bilgileri çalar. Gerekli bilgileri toplamak için Laravel dosyalarını kullanır. Farklı bilgileri tarayan farklı varyantları vardır.
AjanTesla – AgentTesla, kurbanın klavye girişini, sistem klavyesini izleme ve toplama, ekran görüntüsü alma ve kurbanın makinesinde kurulu çeşitli yazılımlara (Google Chrome dahil) kimlik bilgilerini sızdırma yeteneğine sahip, keylogger ve bilgi çalıcı olarak çalışan gelişmiş bir RAT’tır. Mozilla Firefox ve Microsoft Outlook e-posta istemcisi).
Lumma Hırsızı – LummaC2 olarak da anılan Lumma Stealer, 2022’den bu yana Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) platformu olarak çalışan, Rusya bağlantılı, bilgi çalan bir kötü amaçlı yazılımdır. 2022’nin ortalarında keşfedilen bu kötü amaçlı yazılım, sürekli olarak Rusça forumlarda gelişiyor ve aktif olarak dağıtılıyor. Tipik bir bilgi hırsızı olan LummaC2, tarayıcı kimlik bilgileri ve kripto para birimi hesap bilgileri de dahil olmak üzere virüslü sistemlerden çeşitli verileri toplamaya odaklanır.
Form kitabı – Formbook, Windows işletim sistemini hedefleyen bir Infostealer’dır ve ilk olarak 2016’da tespit edilmiştir. Güçlü kaçırma teknikleri ve nispeten düşük fiyatı nedeniyle yer altı hack forumlarında Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak pazarlanmaktadır. FormBook, çeşitli web tarayıcılarından kimlik bilgileri toplar, ekran görüntüleri toplar, tuş vuruşlarını izler ve günlüğe kaydeder ve C&C’den gelen siparişlere göre dosyaları indirip çalıştırabilir.
NJRat – NJRat, esas olarak Orta Doğu’daki devlet kurumlarını ve kuruluşlarını hedef alan, uzaktan erişilebilen bir Truva Atı’dır. Truva atı ilk olarak 2012’de ortaya çıktı ve birden fazla yeteneğe sahip: tuş vuruşlarını yakalamak, kurbanın kamerasına erişmek, tarayıcılarda saklanan kimlik bilgilerini çalmak, dosyaları yüklemek ve indirmek, işlem ve dosya manipülasyonlarını gerçekleştirmek ve kurbanın masaüstünü görüntülemek. NJRat, kurbanlara kimlik avı saldırıları ve uzaktan indirmeler yoluyla bulaşıyor ve Komuta ve Kontrol sunucu yazılımının desteğiyle, virüslü USB anahtarları veya ağ bağlantılı sürücüler aracılığıyla yayılıyor.
AsyncRat – Asyncrat, Windows platformunu hedef alan bir Truva atıdır. Bu kötü amaçlı yazılım, hedeflenen sistem hakkındaki sistem bilgilerini uzak bir sunucuya gönderir. Eklentileri indirmek ve yürütmek, işlemleri sonlandırmak, kendisini kaldırmak/güncellemek ve virüslü sistemin ekran görüntülerini yakalamak için sunucudan komutlar alır.
Remco’lar – Remcos, ilk kez 2016 yılında ortaya çıkan bir RAT’tır. Remcos, SPAM e-postalarına eklenen kötü amaçlı Microsoft Office belgeleri aracılığıyla kendisini dağıtır ve Microsoft Windows’un UAC güvenliğini atlamak ve kötü amaçlı yazılımları yüksek düzey ayrıcalıklarla yürütmek üzere tasarlanmıştır.
Aptallık – 2011’den beri bilinen Glupteba, yavaş yavaş bir botnet’e dönüşen bir arka kapıdır. 2019’a gelindiğinde, halka açık BitCoin listeleri aracılığıyla bir C&C adresi güncelleme mekanizması, entegre bir tarayıcı çalma yeteneği ve bir yönlendirici istismarcı içeriyordu.
Daha öte – Vidar, ilk olarak 2018’in sonlarında keşfedilen, hizmet olarak kötü amaçlı yazılım olarak çalışan bir bilgi hırsızı kötü amaçlı yazılımdır. Kötü amaçlı yazılım, Windows üzerinde çalışır ve tarayıcılardan ve dijital cüzdanlardan çok çeşitli hassas veriler toplayabilir. Ek olarak, kötü amaçlı yazılım, fidye yazılımı için indirici olarak kullanılır.
En çok yararlanılan güvenlik açıkları
Web Sunucuları Kötü Amaçlı URL Dizini Geçişi (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE) -2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Farklı web sunucularında dizin geçiş güvenlik açığı bulunmaktadır. Güvenlik açığı, bir web sunucusundaki, dizin geçiş kalıpları için URI’yi gerektiği gibi temizlemeyen bir giriş doğrulama hatasından kaynaklanmaktadır. Başarılı bir şekilde yararlanma, kimliği doğrulanmamış uzaktaki saldırganların, güvenlik açığı bulunan sunucudaki rastgele dosyaları ifşa etmesine veya bu dosyalara erişmesine olanak tanır.
HTTP Üzerinden Komut Enjeksiyonu (CVE-2021-43936,CVE-2022-24086) – Komutta HTTP üzerinden Enjeksiyon güvenlik açığı rapor edildi. Uzaktaki bir saldırgan, kurbana özel hazırlanmış bir istek göndererek bu sorundan yararlanabilir. Başarılı bir şekilde yararlanma, bir saldırganın hedef makinede rastgele kod yürütmesine olanak tanır.
Zyxel ZyWALL Komut Ekleme (CVE-2023-28771) – Zyxel ZyWALL’da bir komut enjeksiyon güvenlik açığı bulunmaktadır. Bu güvenlik açığından başarıyla yararlanılması, uzaktaki saldırganların etkilenen sistemde rastgele işletim sistemi komutları yürütmesine olanak tanıyacaktır.
En iyi mobil kötü amaçlı yazılımlar
Bu ay en yaygın Mobil kötü amaçlı yazılımlarda Joker 1. sırada yer alırken onu Necro ve Anubis takip ediyor.
Joker – Google Play’de SMS mesajlarını, kişi listelerini ve cihaz bilgilerini çalmak için tasarlanmış bir Android Casus Yazılımı. Ayrıca kötü amaçlı yazılım, reklam web sitelerindeki premium hizmetler için kurbanı sessizce imzalıyor.
Nekro – Necro bir Android Truva Atı Bırakıcısıdır. Diğer kötü amaçlı yazılımları indirebilir, izinsiz reklamlar gösterebilir ve ücretli aboneliklerden ücret alarak para çalabilir.
Anubis – Anubis, Android cep telefonları için tasarlanmış bir bankacılık Truva Atı kötü amaçlı yazılımıdır. İlk tespit edildiğinden bu yana, Uzaktan Erişim Trojan (RAT) işlevselliği, keylogger, ses kayıt yetenekleri ve çeşitli fidye yazılımı özellikleri dahil olmak üzere ek işlevler kazanmıştır. Google Store’da bulunan yüzlerce farklı uygulamada tespit edilmiştir.
En iyi fidye yazılımı grupları
Veriler, kurban bilgilerini yayınlayan, çifte şantaj yapan fidye yazılımı grupları tarafından işletilen fidye yazılımı “utanç verici sitelerden” elde edilen bilgilere dayanmaktadır. RansomHub bu ayın en yaygın fidye yazılımı grubu olup, yayınlanan saldırıların %17’sinden sorumludur ve onu %10 ile Play ve %5 ile Meow takip etmektedir.
RansomHub – RansomHub, daha önce bilinen Knight fidye yazılımının yeniden markalanmış bir versiyonu olarak ortaya çıkan bir Hizmet Olarak Fidye Yazılımı (RaaS) işlemidir. 2024’ün başlarında yeraltı siber suç forumlarında dikkat çekici bir şekilde ortaya çıkan RansomHub, Windows, macOS, Linux ve özellikle VMware ESXi ortamları dahil olmak üzere çeşitli sistemleri hedef alan agresif kampanyalarıyla kısa sürede ün kazandı. Bu kötü amaçlı yazılımın karmaşık şifreleme yöntemleri kullanması biliniyor.
Oynamak – PlayCrypt olarak da anılan Play Ransomware, ilk olarak Haziran 2022’de ortaya çıkan bir fidye yazılımıdır. Bu fidye yazılımı, Ekim 2023 itibarıyla yaklaşık 300 kuruluşu etkileyerek Kuzey Amerika, Güney Amerika ve Avrupa’da geniş bir işletme yelpazesini ve kritik altyapıyı hedef aldı. Play Ransomware genellikle ağlara, güvenliği ihlal edilmiş geçerli hesaplar aracılığıyla veya Fortinet SSL VPN’lerindeki gibi yamalanmamış güvenlik açıklarından yararlanarak erişim sağlar. İçeri girdikten sonra, veri sızdırma ve kimlik bilgileri hırsızlığı gibi görevler için arazide yaşayan ikili dosyaları (LOLBins) kullanmak gibi teknikler kullanıyor.
Miyav – Meow Ransomware, güvenliği ihlal edilmiş sistemlerdeki çok çeşitli dosyaları şifrelemesiyle ve “. onlara “MEOW” uzantısı. Kurbanlara fidye ödemeleri için pazarlık yapmak üzere saldırganlarla e-posta veya Telegram yoluyla iletişime geçmeleri talimatını veren “readme.txt” adlı bir fidye notu bırakıyor. Meow Ransomware, korumasız RDP yapılandırmaları, e-posta spam’ı ve kötü amaçlı indirmeler dahil olmak üzere çeşitli vektörler aracılığıyla yayılır ve “.exe” ve metin dosyaları hariç dosyaları kilitlemek için ChaCha20 şifreleme algoritmasını kullanır.
Dünya çapında en çok saldırıya uğrayan sektörler
Bu ay küresel olarak saldırıya uğrayan sektörlerde eğitim/araştırma ilk sırada yer alırken, bunu hükümet/ordu ve iletişim izledi.