Cyble Research and Intelligence Labs (CRIL), kullanıcıları var olmayan hizmetler için ödeme yapmaları için kandırmak üzere hayali bir antivirüs çözümü web sitesi oluşturan dolandırıcıları içeren dikkate değer bir vaka ile yeni bir Tech Scam etkinliği dalgası tespit etti.
Cyble güvenlik araştırmacıları, kampanya bağlantılı kimlik avı sitesinin araştırılması sırasında, sitenin IP adresinin çok sayıda dolandırıcılık kampanyasıyla ilişkili olduğunu ve bir yeraltı DarkWeb pazar yeri ile bağlantılı olduğunu buldu.
Sahte antivirüs teknolojisi dolandırıcılığının ayrıntıları
En son Cyble blogunda ortaya çıkarılan antivirüs teknolojisi dolandırıcılığı, dolandırıcıların bu kampanyada kimlik avı e-postalarını ve web sitelerini nasıl kullandığını ayrıntılarıyla anlatıyor. Kimlik avı e-postalarının kötü amaçlı yazılım bulaşmış yürütülebilir dosyalara sahip olduğu bulundu.
Araştırmacılar, CraxsRAT, bir İndirici ve Chaos fidye yazılımının değiştirilmiş bir sürümü dahil olmak üzere birden fazla kötü amaçlı yazılım yükünü yaymaktan sorumlu olan bir damlalığın keşfini ortaya çıkardı.
Tehdit aktörü, bu kötü niyetli araçları bu Teknoloji Dolandırıcılıklarını ilerletmek için kullandı.
İndirici, dört ek yükün alınmasını başlatmak üzere programlanmıştır. Aktivasyonlarının ardından, bu yüklerin her biri yanıltıcı AntiVirus web sitesini yaymak için kullanılır.
Aşağıdaki diyagram, enfeksiyon dizisinin ilerlemesini göstermektedir.
Dosya yürütüldüğünde, aşağıdaki şekilde gösterildiği gibi kurbanın masaüstünde kalıcı bir uyarı mesajı oluşturur.
Uyarı, kullanıcıların onu kapatmasını veya diğer uygulamaları kullanmasını engellemek için kasıtlı olarak tasarlanmıştır. Ayrıca, aldatıcı mesaj, kullanıcıları muhtemelen kötü amaçlarla belirli bir web sitesini ziyaret etmeye veya Telegram aracılığıyla ulaşmaya zorlar.
Antivirus Teknoloji Dolandırıcılığı Kampanyasından Keşifler
CRIL araştırmacıları tarafından bulunan bu teknoloji dolandırıcılığında kullanılan birkaç fidye yazılımı –
- Kimlik avı web sitesinin IP adresinin birkaç başka dolandırıcılıkla bağlantısı olduğu tespit edildi
- Teknoloji dolandırıcılığı kampanyasında bulunan kötü amaçlı yazılım, Chaos fidye yazılımının bir çeşidi olan CraxsRAT’ı içeriyordu.
- Fidye yazılımı, cihazdaki dosyaları şifreledi ve bunları .encp eklenti
- Fidye notunun adı “READ_ME.txt” idi.
- Fidye notunun URL’si vardı – www[.]biraz[.]ly/güvenli ağ
- Sahte antivirüs web sitesinin URL’si şuydu: https[:]//alpaca_jade_265.pineapplebuilder[.]com/dizin
Yukarıdaki resim aracılığıyla tanıtılan teknoloji dolandırıcılığı kampanyası, mevcut olmayan antivirüs çözümlerini lanse etti. Temel bir sürüm için 99 $ olarak fiyatlandırıldılar. Orta sürüm için 249 dolar ve gelişmiş antivirüs için 449 dolar.
Antivirüs, şifreleme, şifre çözme ve güvenlik duvarı koruması sağlama sözü verirken, aslında tam tersini yaptı.
Antivirüs teknolojisi dolandırıcılığına bağlı karanlık web pazarı
“IP adresi” 185.199.110[.]Cyble blogu, 153”ün ayrıca bir DarkWeb pazarı olan TORZON MARKETPLACE ile ilişkili olduğu bulundu” dedi. Dolandırıcılar, antivirüs teknolojisi dolandırıcılığında modellerin resimlerini kullandı.
Fidye yazılımı saldırıları başlatmak da CRIL araştırmacıları tarafından gözlemlenen bu teknoloji dolandırıcılığının bir parçasıydı.
TORZON MARKETPLACE ile bir bağlantı bulunduğundan dolandırıcıların daha geniş bir ağın parçası olduğu tahmin ediliyor.
Ayrıca soruşturma, bu antivirüs teknolojisi dolandırıcılığına karışan IP adresinin, Chai Urgent Care olarak tanımlanan bir kimlik avı kampanyasıyla da bağlantılı olduğunu ortaya çıkardı.
Modellerin görüntüleri, çalışanların sahte profillerini oluşturmak için kullanıldı. Bu fabrikasyon profiller daha sonra var olmayan antivirüs yazılımını onaylayan incelemeler yayınlamak için kullanıldı.
Bunun arkasındaki amaç, kimlik avı web siteleri aracılığıyla antivirüs teknolojisi dolandırıcılığının potansiyel kurbanlarını hedef alırken bir güvenilirlik duygusu oluşturmaktı.
Cyble blogunda, “Belirli bir örnekte, aynı görüntü, LinkedIn’deki bir Yetenek Edinme profili için bile kullanıldı; bu, bazı TA’ların, kullanıcıları aldatmak için hazır model görüntülerinden nasıl yararlandığını gösteriyor.”
CRIL, teknoloji dolandırıcılığını tespit etmek ve önlemek için aşağıdaki adımları kaydetti
- Kişilerin veya kuruluşların kimliklerini, sosyal medya platformları da dahil olmak üzere tümü ile iletişim kurarak doğrulayın.
- Kimlik avı web sitelerini engelleyin. Bunlar ayrıca kimlik avı tespit araçları ve çözümleri aracılığıyla da tespit edilir.
- Özellikle ani, beklenmedik veya kişinin kullandığı uygulamalara ve çözümlere aykırı olduğunda, mesaj ve e-postalardaki bağlantılara tıklamayın.
- Kimlik avı tespiti sunan, yaklaşan saldırılar hakkında erken uyarılar veren ve raporlamayı kolaylaştıran gelişmiş siber güvenlik çözümlerini tercih edin.
- Tüm yazılımları, özellikle antivirüs yazılımını güncelleyin
- Web sitelerinde açılır pencereler veya Google aramada web siteleri vb. olarak görünen ücretsiz veya reklamı yapılan yazılımlara, hediyelere ve fiyatlara yönelmekten kaçının.
- Bilgisayar korsanlarının ve dolandırıcıların bir adım önünde olmak ve saldırı mekanizmalarını nasıl geliştirdiklerini öğrenmek için siber güvenlik haberlerini okuyun.