Karanlık web’de yayınlanan bilgi hırsızlığı yapan kötü amaçlı yazılım kayıtlarının analizi, binlerce çocuk cinsel istismarı materyali (CSAM) tüketicisinin keşfedilmesine yol açtı ve bu tür bilgilerin ciddi suçlarla mücadelede nasıl kullanılabileceğini gösterdi.
Recorded Future geçen hafta yayınlanan bir kavram kanıtı (PoC) raporunda “Bilinen CSAM kaynaklarında hesapları olan yaklaşık 3.300 benzersiz kullanıcı bulundu” dedi. “Dikkat çekici bir şekilde %4,2’si birden fazla kaynak için kimlik bilgilerine sahipti, bu da suç davranışı olasılığının daha yüksek olduğunu gösteriyor.”
Son birkaç yıldır, hazır bilgi hırsızlığı çeşitleri, kimlik bilgileri, kripto para cüzdanları, ödeme kartı verileri ve ekran görüntüleri gibi hassas bilgileri çalmayı amaçlayan çeşitli işletim sistemlerini hedef alan yaygın ve her yerde bulunan bir tehdit haline geldi.
Bu durum, Kematian Stealer, Neptune Stealer, 0bj3ctivity, Poseidon (eski adıyla RodStealer), Satanstealer ve StrelaStealer gibi yeni hırsız kötü amaçlı yazılım türlerinin yükselişinde kanıtlanmıştır.
Kimlik avı, spam kampanyaları, kırılmış yazılımlar, sahte güncelleme siteleri, SEO zehirlenmesi ve kötü amaçlı reklamlar yoluyla dağıtılan bu tür programlar kullanılarak toplanan veriler, genellikle hırsız günlükleri biçiminde karanlık web’e ulaşır ve diğer siber suçlular tarafından planlarını ilerletmek için satın alınır.
Flare, geçen temmuz ayında yayınladığı bir raporda, “Çalışanlar düzenli olarak kurumsal kimlik bilgilerini kişisel cihazlarına kaydediyor veya kurumsal cihazlardan kişisel kaynaklara erişiyor, bu da enfeksiyon riskini artırıyor” ifadelerini kullandı.
“Kötü amaçlı yazılım hizmeti (MaaS) satıcılarının yasa dışı Telegram kanallarında bilgi hırsızı kötü amaçlı yazılımlar sattığı, tehdit aktörlerinin bunları sahte kırık yazılımlar veya kimlik avı e-postaları aracılığıyla dağıttığı ve ardından virüslü cihaz kayıtlarını özel karanlık web pazar yerlerinde sattığı karmaşık bir ekosistem mevcuttur.”
Recorded Future’ın Insikt Group’u, Şubat 2021 ile Şubat 2024 arasında bilinen CSAM alan adlarına erişmek için kullanılan 3.324 benzersiz kimlik bilgisini tespit edebildiğini ve bu bilgileri kullanarak en az dört web sitesinde hesap bulunduran üç kişinin kimliğini ortaya çıkardığını söyledi.
Hırsız kayıtlarının kripto para cüzdan adreslerini de içermesi, adreslerin CSAM ve diğer zararlı materyalleri elde etmek için kullanılıp kullanılmadığını belirlemek için kullanılabileceği anlamına geliyor.
Ayrıca, Brezilya, Hindistan ve ABD gibi ülkeler, bilinen CSAM topluluklarına ait kimlik bilgilerine sahip kullanıcı sayısının en yüksek olduğu ülkelerdi; ancak şirket, bunun “veri kümesi kaynaklarından kaynaklanan aşırı temsil” nedeniyle olabileceğini söyledi.
“Bilgi hırsızı kötü amaçlı yazılımların ve çalınan kimlik bilgilerinin, tehdit aktörlerinin hedeflere ilk erişimi talep etmesi nedeniyle siber suç ekonomisinin temel taşlarından biri olmaya devam edeceği öngörülüyor” denildi ve bulgularını kolluk kuvvetleriyle paylaşıldığı da eklendi.
“Bilgi hırsızı kayıtları, araştırmacılar ve kolluk kuvvetleri tarafından karanlık web’deki çocuk istismarını izlemek ve karanlık web’in izlenmesi özellikle zor olan bir bölümüne ilişkin bilgi sağlamak için kullanılabilir.”