Devasa Sahte Çatlak Yazılım Ağı Üzerinden Yayılan Rakun ve Vidar Hırsızları


16 Ocak 2023Ravie LakshmananVeri Güvenliği / Siber Tehdit

Sahte Crackli Yazılım

2020’nin başından beri Raccoon ve Vidar gibi bilgi çalan kötü amaçlı yazılımları dağıtmak için 250’den fazla alandan oluşan “büyük ve dayanıklı bir altyapı” kullanılıyor.

Siber güvenlik firması SEKOIA bu ayın başlarında yayınlanan bir analizde, enfeksiyon zincirinin “GitHub gibi dosya paylaşım platformlarında barındırılan yükü indirmeden önce birkaç bağlantıya yönlendiren yaklaşık yüz sahte kırılmış yazılım kataloğu web sitesi kullandığını” söyledi.

Fransız siber güvenlik şirketi, etki alanlarını, diğer siber suçluların kötü amaçlı yazılımlarını dağıtmak için hizmeti kiralamasına olanak tanıyan bir trafik yönlendirme sistemi (TDS) çalıştıran bir tehdit aktörü tarafından işletilecek şekilde değerlendirdi.

Saldırılar, Google gibi arama motorlarında yazılımların ve oyunların kırık sürümlerini arayan kullanıcıları hedef alıyor ve kurbanları kötü amaçlı yükleri indirmeye ve yürütmeye ikna etmek için arama motoru optimizasyonu (SEO) zehirlenmesi adı verilen bir teknikten yararlanarak sahte web sitelerini üst sıralara çıkarıyor.

Zehirli sonuç, vaat edilen yazılımın indirme bağlantısıyla birlikte gelir; bu bağlantı, tıklandığında kullanıcıyı, barındırılan parola korumalı bir RAR arşiv dosyasına işaret eden kısaltılmış bir bağlantı görüntüleyen bir web sayfasına götürmek için beş aşamalı bir URL yeniden yönlendirme dizisini tetikler. GitHub, şifresiyle birlikte.

Araştırmacılar, “Birkaç yeniden yönlendirme kullanmak, güvenlik çözümleriyle otomatikleştirilmiş analizi zorlaştırıyor” dedi. “Altyapıyı bu şekilde oymak, neredeyse kesinlikle dayanıklılığı sağlamak ve bir adımı güncellemeyi veya değiştirmeyi daha kolay ve hızlı hale getirmek için tasarlandı.”

Sahte Crackli Yazılım

Kurbanın RAR arşivini açması ve içinde yer aldığı iddia edilen kurulum yürütülebilir dosyasını çalıştırması durumunda, iki kötü amaçlı yazılım ailesinden biri, Raccoon veya Vidar, sisteme yüklenir.

Geliştirme, Cyble’ın Rhadamanthys Stealer olarak bilinen zengin özelliklere sahip bir hırsız sunmak için AnyDesk, Bluestacks, Notepad++ ve Zoom gibi yaygın olarak kullanılan yazılımları yem olarak kullanan haydut bir Google Ads kampanyasını detaylandırmasıyla geldi.

Saldırı zincirinin alternatif bir varyantının, farkında olmayan kullanıcıları hileli bağlantılara tıklamaya ikna etmek için banka hesap özetleri kılığına giren kimlik avı e-postalarından yararlandığı gözlemlendi.

Popüler uzak masaüstü çözümünü taklit eden fabrikasyon web siteleri de geçmişte Mitsu Stealer adlı Python tabanlı bir bilgi hırsızını yaymak için kullanılmaya başlandı.

Her iki kötü amaçlı yazılım da, güvenliği ihlal edilmiş makinelerden çok çeşitli kişisel bilgileri sifonlamak, web tarayıcılarından kimlik bilgilerini toplamak ve çeşitli kripto para cüzdanlarından veri çalmak için donatılmıştır.

Kullanıcılara korsan yazılım indirmekten kaçınmaları ve hesapları sağlamlaştırmak için mümkün olan her yerde çok faktörlü kimlik doğrulamayı zorlamaları önerilir.

Araştırmacılar, “Kullanıcıların spam e-postalar alırken veya kimlik avı amaçlı web sitelerini ziyaret ederken dikkatli olmaları ve herhangi bir uygulamayı indirmeden önce kaynağı doğrulamaları çok önemlidir.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link