Son zamanlarda, Cyble Research and Intelligence Labs (CRIL), olabildiğince çok kullanıcıyı etkilemek için kimlik avı sitelerindeki popüler uygulamaları taklit eden Aurora Stealer kötü amaçlı yazılımını keşfetti.
Çeşitli iyi bilinen uygulamaları hedeflemek için, bu saldırının arkasındaki tehdit aktörleri, kimlik avı web sitelerini aktif olarak değiştiriyor ve özelleştiriyor.
Cyble araştırmacıları, kullanıcıları etkilemek için popüler uygulamalara dayalı kimlik avı sayfalarını kullanan bir bilgi hırsızı olan Aurora’yı analiz ediyor. Aurora, web tarayıcılarından, kripto cüzdanlarından, tarayıcı uzantılarından, telgraftan ve belirli kullanıcı dizinlerinden gelen verileri hedefler.
Aurora – Şekil Değiştirme Taktiklerini Kullanan Bir Hırsız
16 Ocak 2023’te Cyble Research and Intelligence Labs (CRIL), “hxxps” adlı bir kimlik avı web sitesi keşfetti.[:]/messenger-indir[.]sohbet uygulaması için bir web sitesi gibi davranan top ”.
Ertesi gün, 17 Ocak 2023, aynı kimlik avı sitesinin resmi TeamViewer web sitesini taklit ettiği keşfedildi.
Bir kullanıcı bir kimlik avı web sitesinde “İndir” düğmesini tıkladığında, ilgili URL’lerden “messenger.exe” ve “teamviewer.exe” adlı kötü amaçlı dosyalar indirilir.
CRIL araştırmacıları, “İndirilen “messenger.exe” ve “teamviewer.exe” dosyaları aslında kötü niyetli Aurora Stealer örnekleridir ve boyutları yaklaşık 260 MB’a çıkarmak için sonunda fazladan sıfırlarla doldurulmuştur”.
Burada tehdit aktörleri, daha büyük dosyaları işlemek AV için zor olabileceğinden, virüsten koruma yazılımının algılanmasını önlemek için bu tekniği kullanır.
Araştırmacılar, kötü amaçlı yazılım dosyasının işletim sisteminin adı, grafik kartının adı ve işlemcinin adı dahil olmak üzere sistem bilgilerini toplamak için Windows Yönetim Araçları (WMI) komutlarını kullandığını belirtiyor.
Ek olarak, kötü amaçlı yazılım, kullanıcı adı, Donanım Tanımlaması (HWID), Rastgele Erişim Belleği (RAM) boyutu, ekran çözünürlüğü ve IP adresi dahil olmak üzere sistem hakkında bilgi toplamaya devam ediyor.
Kötü amaçlı yazılım ayrıca, kurbanın bilgisayarında yüklü tarayıcıların dizinlerini sorgulayarak SQLite’ta kaydedilmiş, Çerezler, Geçmiş, Oturum Açma Verileri ve Web Verileri gibi tarayıcıyla ilgili belirli dosyaları arar.
Ardından hırsız, belirli dizinlerdeki dosyaları sorgulayıp okuyarak kripto cüzdanlarıyla ilgili bilgileri çıkarmaya başlar.
Aurora hırsızı ayrıca kripto cüzdanı tarayıcı uzantılarından da veri çalar. Araştırmacılar, 100’den fazla uzantının özel olarak hedeflendiğini ve hırsız ikili dosyasına sabit kodlandığını söylüyor.
CRIL araştırmacıları, “Kötü amaçlı yazılım, kurbanın makinesinde FTP istemci yazılımı, Telegram, Discord ve Steam uygulamalarını arayarak veri toplamaya devam ediyor ve yapılandırma ve oturum veri dosyalarından önemli bilgileri çalıyor” dedi.
“Kötü amaçlı yazılım ayrıca Masaüstü ve Belgeler gibi dizinlerden belirli dosyaları alır ve kurbanın sisteminin ekran görüntülerini alır”.
Son olarak, Aurora hırsızı, çalınan verileri JSON formatına dönüştürerek, bir GZIP arşivine koyarak ve GZIP arşivini Base64’te kodlayarak hırsızlığa hazırlar.
Son söz
Kötü amaçlı yazılım örnekleri, onları büyütmek ve tespit edilmekten kaçınmak için giderek artan bir şekilde gereksiz verilerle dolduruluyor. RedLine, Vidar ve RecordBreaker dahil olmak üzere diğer hırsızların da bu taktiği kullandığı bulundu.
Bu nedenle, mümkün olduğunda çok faktörlü kimlik doğrulaması uygulayın ve güçlü parolalar kullanın. Otomatik yazılım güncellemelerini etkinleştirin ve çalışanları, kimlik avı ve güvenli olmayan URL’ler gibi tehlikelere karşı kendilerini nasıl savunacakları konusunda bilgilendirin.
Kötü amaçlı yazılım yaymak için kullanılabilecek Torrent/Warez gibi URL’leri engelleyin. Ayrıca, kötü amaçlı yazılım veya tehdit aktörleri tarafından veri hırsızlığını engellemek için ağ düzeyindeki işaretçiyi izleyin.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin