Siber güvenlik araştırmacıları, RisePro adlı bir bilgi hırsızını dağıtmak için kullanılan, crackli yazılımlar sunan bir dizi GitHub deposu buldu.
Kod adı verilen kampanya githubG DATA'ya göre 11 farklı hesapla ilişkili 17 depo içerir. Söz konusu depolar o zamandan beri Microsoft'un sahibi olduğu yan kuruluş tarafından devre dışı bırakıldı.
Alman siber güvenlik şirketi, “Depolar benzer görünüyor ve ücretsiz crackli yazılım vaadiyle README.md dosyasını içeriyor” dedi.
“Github'da otomatik yapıların durumunu görüntülemek için yeşil ve kırmızı daireler yaygın olarak kullanılıyor. Gitgub tehdit aktörleri, README.md dosyasına, geçerli bir tarihin yanında bir durum görüntülüyormuş gibi davranan ve meşruluk ve güncellik duygusu sağlayan dört yeşil Unicode daire ekledi. “
Depoların listesi aşağıdaki gibidir; her biri bir indirme bağlantısına işaret eder (“digitalxnetwork[.]com”) bir RAR arşiv dosyası içerir –
- andreastanaj/AVAST
- andreastanaj/Ses Güçlendirici
- aymenkort1990/fabfilter
- BenWebsite/-IObit-Smart-Defrag-Crack
- Faharnaqvi/VueScan-Crack
- javisolis123/Voicemod
- lolusuary/AOMEI-Backupper
- lolusuary/Daemon-Tools
- lolusuary/EaseUS-Partition-Master
- lolusuary/SOOTHE-2
- mostofakamaljoy/ccleaner
- rik0v/ManyCam
- Roccinhu/Tenorshare-Reiboot
- Roccinhu/Tenorshare-iCareFone
- True-Oblivion/AOMEI-Bölme-Asistanı
- vaibhavshiledar/droidkit
- vaibhavshiledar/TOON-BOOM-HARMONY
Kurbanların, deponun README.md dosyasında belirtilen şifreyi girmelerini gerektiren RAR arşivi, bir sonraki aşamadaki yükün paketini açan bir yükleyici dosyası içeriyor; bu dosya, aşağıdaki gibi analiz araçlarını çökertmek amacıyla 699 MB'a şişirilmiş yürütülebilir bir dosyadır. IDA Pro.
Dosyanın yalnızca 3,43 MB tutarındaki gerçek içeriği, RisePro'yu (sürüm 1.6) AppLaunch.exe veya RegAsm.exe'ye enjekte etmek için bir yükleyici görevi görür.
RisePro, 2022'nin sonlarında PrivateLoader olarak bilinen bir yükleme başına ödeme (PPI) kötü amaçlı yazılım indirme hizmeti kullanılarak dağıtıldığında dikkatleri üzerine çekti.
C++ ile yazılmış olan bu program, virüs bulaşmış ana bilgisayarlardan hassas bilgiler toplamak ve bu bilgileri, tehdit aktörleri tarafından kurbanların verilerini çıkarmak için sıklıkla kullanılan iki Telegram kanalına sızdırmak için tasarlandı. İlginç bir şekilde, Checkmarx'ın son araştırması, bir saldırganın botuna sızmanın ve mesajları başka bir Telegram hesabına iletmenin mümkün olduğunu gösterdi.
Bu gelişme, Splunk'un Snake Keylogger'ın benimsediği taktik ve teknikleri ayrıntılarıyla anlatması ve onu “veri sızdırma konusunda çok yönlü bir yaklaşım kullanan” hırsız bir kötü amaçlı yazılım olarak tanımlamasıyla ortaya çıkıyor.
Splunk, “FTP kullanımı, dosyaların güvenli aktarımını kolaylaştırırken, SMTP, hassas bilgiler içeren e-postaların gönderilmesini sağlar.” dedi. “Ayrıca Telegram ile entegrasyon, çalınan verilerin anında iletilmesine olanak tanıyan gerçek zamanlı bir iletişim platformu sunuyor.”
Hırsız kötü amaçlı yazılımlar giderek daha popüler hale geldi ve genellikle fidye yazılımlarının ve diğer yüksek etkili veri ihlallerinin birincil vektörü haline geldi. Specops'un bu hafta yayınladığı bir rapora göre RedLine, Vidar ve Raccoon en yaygın kullanılan hırsızlar olarak ortaya çıktı ve son altı ayda 170,3 milyondan fazla şifrenin çalınmasından tek başına RedLine sorumlu oldu.
Flashpoint, Ocak 2024'te şunları kaydetti: “Bilgi çalan kötü amaçlı yazılımların mevcut yükselişi, sürekli gelişen dijital tehditlerin keskin bir hatırlatıcısıdır.” “Kullanımının ardındaki motivasyon neredeyse her zaman finansal kazançtan kaynaklansa da, hırsızlar daha erişilebilir olurken sürekli olarak uyum sağlıyor ve kullanımı daha kolay.”