Kolluk kuvvetleri, Smokeloader kötü amaçlı yazılım müşterilerini takip ettiklerini ve en az beş kişiyi gözaltına aldıklarını açıkladılar.
Europol yaptığı açıklamada, “Koordineli bir dizi eylemde, ‘süperstar olarak bilinen aktör’ tarafından işletilen smokeloader botnet müşterileri, tutuklamalar, ev aramaları, tutuklama varantları veya ‘vurma ve görüşmeler’ gibi sonuçlarla karşı karşıya kaldı.” Dedi.
Superstar’ın, müşterilerinin kurban makinelerine yetkisiz erişim elde etmesini sağlayan, yükleyiciyi seçtikleri sonraki aşamalı yükleri dağıtmak için bir kanal olarak kullanan bir giriş başına ödeme hizmeti yürüttüğü iddia ediliyor.
Avrupa Kolluk Kuvvetleri’ne göre, BOTNET’in sağladığı erişim, Keylogging, Web Kamerası erişimi, fidye yazılımı dağıtım ve kripto para madenciliği gibi çeşitli amaçlar için kullanıldı.
Geçen yıl Icedid, SystemBC, Pikabot, Smokeloader, Bumblebee ve Trickbot gibi çoklu kötü amaçlı yazılım işlemleri ile ilişkili çevrimiçi altyapının sökülmesine yol açan Endgame Operation Endgame adlı devam eden koordineli bir egzersizin bir parçası olan en son eylem.
Kanada, Çek Cumhuriyeti, Danimarka, Fransa, Almanya, Hollanda ve Amerika Birleşik Devletleri, siber suç ekosisteminin “talep tarafına” odaklanmayı amaçlayan takip çabalarına katıldı.
Europol başına yetkililer, daha önce ele geçirilmiş bir veritabanında kayıtlı olan müşterileri takip ederek, çevrimiçi kişilerini gerçek hayattaki bireylere bağlar ve sorgulama için çağırırlar. Belirtilmemiş sayıda şüphelinin işbirliği yapmayı ve kişisel cihazlarının dijital kanıt toplamak için incelemesini seçtiğine inanılmaktadır.
Europol, “Birkaç şüpheli Smokeloader’dan satın alınan hizmetleri bir işaretlemede yeniden satarak soruşturmaya ek bir ilgi katmanı ekledi.” Dedi. Diyerek şöyle devam etti: “Bazı şüpheliler artık kolluk kuvvetlerinin radarında olmadıklarını varsaymışlardı, sadece hala hedeflendiklerinin sert bir şekilde farkına varmak için.”
Kötü amaçlı yazılım yükleyicileri farklı şekillerde gelir
Geliştirme, Broadcom’un sahip olduğu Symantec’in, Modiloader (DBatloader ve Natsoloader) adlı Delphi tabanlı bir kötü amaçlı yazılım yükleyicisini kurbanların makinelerine dağıtmak için Windows Screenseraver (SCR) dosya biçimini kullanan bir kimlik avı kampanyasının ayrıntılarını açıkladığı gibi geliyor.
Ayrıca, kullanıcıları Legion Loader olarak adlandırılan başka bir yükleyici kötü amaçlı yazılımını dağıtmak için kullanıcıları kötü amaçlı Windows yükleyici (MSI) dosyalarını çalıştırmaya yönlendiren bir kaçak web kampanyasıyla da çakışır.
Palo Alto Networks Unit 42, “Bu kampanya,” Pasta Dönüm ‘veya’ Pano Kaçırma ‘adı verilen bir yöntem kullanıyor çünkü izleyicilere içeriği çalıştırma penceresine yapıştırmaları talimatı veriliyor, “dedi.
Kimlik avı kampanyaları ayrıca KOI Loader için bir dağıtım aracı olmuştur, bu da çok aşamalı bir enfeksiyon dizisinin bir parçası olarak KOI Stealer adlı bir bilgi stealer’ı indirmek ve yürütmek için kullanılır.
Esentir, geçen ay yayınlanan bir raporda, “VM anti-VM yeteneklerinin KOI Loader ve KOI Stealer gibi kötü amaçlı yazılımlar tarafından kullanılması, modern tehditlerin analistler, araştırmacılar ve sanal alanları tarafından analiz ve tespitten kaçınma yeteneğini vurguluyor.” Dedi.
Ve hepsi bu değil. Son aylar, ilk olarak Kasım 2024’ün başlarında görülen bir teknik olan Google’da sponsorlu arama sonuçları ile yayılan gootloader’ın (diğer adıyla Slowpour) geri dönüşüne bir kez daha tanık oldu.
Saldırı, tıklandığında bir siteye yönlendirilen sahte reklamlara hizmet etmek için Google’da “Açıklama Sözleşmesi Şablonu” arayan kullanıcıları hedefliyor (“Lawliner[.]com “) belgeyi almak için e -posta adreslerini girmeleri istenir.
“E -postalarını girdikten kısa bir süre sonra avukat@skhm’den bir e -posta alacaklar[.]Gootloader adıyla geçen ve kötü amaçlı yazılım yükleyicisini birkaç yıl yakından izleyen bir güvenlik araştırmacısına göre, istenen kelime belgesine (DOCX) bir bağlantı ile org.
“Kullanıcı tüm kapılarını geçerse, sıkıştırılmış bir JavaScript dosyası indirirler. Kullanıcı JavaScript dosyasını açıp yürüttüğünde, aynı gootload davranışı gerçekleşir.”
Ayrıca, kullanıcıları Google Chrome gibi web tarayıcıları için meşru bir güncelleme olarak gizleyerek kötü amaçlı yazılımları yüklemeye aldatan sosyal mühendislik ploys aracılığıyla yayılan FakeUpdates (diğer adıyla Socgholish) olarak bilinen bir JavaScript indiricisi de bulunur.
Google, “Saldırganlar, kötü amaçlı kaynakları kullanarak kötü amaçlı yazılım dağıtıyor, kötü niyetli JavaScript’i parmak izi ana bilgisayarlarına, uygunluk kontrolleri yapmak ve sahte güncelleme sayfaları görüntülemek için savunmasız sitelere enjekte ediyor.” Dedi. “Kötü amaçlı yazılım genellikle sürücü by indirmelerle teslim edilir. Kötü amaçlı JavaScript, ek kötü amaçlı yazılımlar sunan bir indirici görevi görür.”
Sahte tarayıcı güncelleme saldırı yolu, Netsupport Manager ve FaketReff gibi bir sonraki aşamalı yükler sunmak için HTML kaçakçılığının kullanımı için adlandırılan ve Darkgate ve Basic Host Bilgisi göndermek için uzak sunucularla iletişim kuran FakesMuggles adı verilen diğer iki JavaScript kötü amaçlı yazılım ailesinin dağıtılması da gözlenmiştir.