Mali açıdan motive edilen bir kampanya, bir yıldan fazla bir süredir Asya Pasifik, Kuzey Amerika ve Latin Amerika’daki web skimmer’ları kullanan çevrimiçi ödeme işletmelerini hedefliyor.
BlackBerry Araştırma ve İstihbarat Ekibi, etkinliği bu isim altında takip ediyor Sessiz Sıyırıcı, bunu Çince bilen bir aktöre atfederek. Öne çıkan kurbanlar arasında çevrimiçi işletmeler ve satış noktası (PoS) hizmet sağlayıcıları yer alıyor.
Kanadalı siber güvenlik firması, “Kampanya operatörleri, özellikle İnternet Bilgi Hizmetlerinde (IIS) barındırılanlar olmak üzere web uygulamalarındaki güvenlik açıklarından yararlanıyor” dedi. “Birincil amaçları, ödeme ödeme sayfasını tehlikeye atmak ve ziyaretçilerin hassas ödeme verilerini kaydırmak.”
Başarılı bir ilk dayanağı, tehdit aktörlerinin ayrıcalık yükseltme, kullanım sonrası ve kod yürütme için birden fazla açık kaynak araçtan ve arazide yaşama (LotL) tekniklerinden yararlanması takip ediyor.
Saldırı zinciri, ana bilgisayarın uzaktan kontrol edilmesine izin veren PowerShell tabanlı bir uzaktan erişim truva atının (server.ps1) konuşlandırılmasına yol açar; bu da, komut dosyalarının indirilmesi, ters proxy’ler ve ters proxy’ler dahil olmak üzere ek yardımcı programları barındıran uzak bir sunucuya bağlanır. Kobalt Saldırısı işaretleri.
BlackBerry’ye göre, izinsiz girişin nihai hedefi, web sunucusuna sızmak ve ödeme ödeme hizmetine bir web kabuğu aracılığıyla bir kazıyıcı bırakmak ve kurbanların sayfaya girdiği mali bilgileri gizlice yakalamaktır.
Düşmanın altyapısının incelenmesi, komuta ve kontrol (C2) için kullanılan sanal özel sunucuların (VPS), tespitten kaçınmak amacıyla kurbanların coğrafi konumlarına göre seçildiğini ortaya koyuyor.
Hedeflenen sektör ve bölgelerin çeşitliliği ve ihlal edilen sunucu türleri, kasıtlı bir yaklaşımdan ziyade fırsatçı bir kampanyaya işaret ediyor.
BlackBerry, “Saldırganın ağırlıklı olarak ödeme verilerini toplayan bölgesel web sitelerine odaklandığını, yaygın olarak kullanılan teknolojilerdeki güvenlik açıklarından yararlanarak yetkisiz erişim elde ettiğini ve siteye girilen veya sitede saklanan hassas ödeme bilgilerini ele geçirdiğini” belirtti.
Açıklama, Sophos’un, MeetMe gibi flört uygulamalarına yaklaşılmasının ardından potansiyel hedeflerin sahte kripto para birimi yatırım planlarına yatırım yapmaya teşvik edildiği ve oyunculara milyonlarca yasa dışı kar sağlayan bir domuz kasaplığı dolandırıcılığının ayrıntılarını açıklamasıyla geldi.
En son operasyonu farklı kılan şey, sanal varlıkların merkezi olmayan borsalarda alım satımı kolaylaştırmak için park edildiği bir likidite havuzuna yapılan yatırım karşılığında kullanıcılara yüksek getiri oranlarıyla düzenli gelir vaat eden likidite madenciliği yemlerinin kullanılmasıdır.
“Bu dolandırıcılıklar, hedefin cihazında kötü amaçlı yazılım bulunmasını gerektirmez ve sahte web siteleri ve sosyal mühendislik dışında herhangi bir ‘hackleme’ gerektirmez; hedefleri, cüzdanlarını, dolandırıcılara cüzdanı boşaltma izni veren bir Ethereum akıllı sözleşmesine bağlamaya ikna eder.” Araştırmacı Sean Gallagher şunları söyledi.