Parola çalan kötü amaçlı yazılımlar, son aylarda haber döngüsünde yer alan çeşitli saldırılarla birlikte yeniden artıyor. Örneğin, Facebook Reklamlarında Ov3r_Stealer adlı yeni bir şifre çalan kötü amaçlı yazılım keşfedildi ve sahte iş fırsatları yoluyla yayıldı. Parola çalan kötü amaçlı yazılımlara ilişkin daha ayrıntılı analiz, özellikle bir kötü amaçlı yazılımın son altı ayda çalınan yaklaşık 170 milyon paroladan sorumlu olduğunu ortaya çıkardı: Redline kötü amaçlı yazılımı.
Araştırmalar, Redline kötü amaçlı yazılımının son altı ayda 170 milyon çalıntı kimlik bilgisi ele geçirdiğini ve bunun da onu bilgisayar korsanlığı camiasının favorisi haline getirdiğini gösteriyor. Yine de piyasada bilgisayar korsanlarının kullanabileceği başka şifre hırsızı kötü amaçlı yazılım çeşitleri de mevcuttu; kimlik bilgisi çalan en popüler üç kötü amaçlı yazılım Vidar, Raccoon Stealer ve Meta’ydı.
Bu tür kötü amaçlı yazılımlar tarafından çalınan kimlik bilgileri, karanlık ağda satılacak ve özellikle aynı şifreleri başka hesaplar için kullanan kurbanlardan bilgi ve para çalmak için kullanılacak. Parolanın yeniden kullanımı, iş dünyasında devam eden bir sorundur ve eğer çalışanlar iş parolalarını kötü amaçlı yazılımlara karşı savunmasız sitelerde veya cihazlarda yeniden kullanıyorsa, bu durum, ele geçirilen parolaların kullanılmasına ve sonunda bilgisayar korsanları tarafından büyük ölçekte suiistimal edilmesine yol açabilir.
Parola çalan kötü amaçlı yazılımların daha derin analizi
Güvenlik profesyonellerini ve işletmeleri kendilerine, kullanıcılarına ve kullanıcılarının şifrelerine karşı en son tehditlere karşı güvende kalmaları için ilgili bilgilerle donatmak amacıyla en iyi üç şifre çalan kötü amaçlı yazılım hakkında daha fazla bilgi gerçekleştirildi.
1 Numaralı Kötü Amaçlı Yazılım – RedLine
RedLine kötü amaçlı yazılımı ilk olarak Mart 2020’de tanımlandı ve son derece aranan bir bilgi hırsızı olarak ün kazandı. Birincil hedefi, kimlik bilgileri, kripto para cüzdanları ve finansal bilgiler dahil olmak üzere çeşitli kişisel verilerin çıkarılması etrafında dönüyor. Bilgiler daha sonra kötü amaçlı yazılımın komuta ve kontrol (C2) altyapısına aktarılır. RedLine kötü amaçlı yazılımının dikkate değer bir özelliği, genellikle ana hedefleri güçlü GPU’lara sahip kullanıcılar, yani oyuncular olan kripto para birimi madencileriyle birlikte paketlenmesidir.
Kimlik avı, RedLine kötü amaçlı yazılımını dağıtmanın ana yöntemidir ve siber suçlular, kurbanları bilmeden kötü amaçlı yazılımı indirmeleri için kötü amaçlı bir bağlantıya tıklamaya ikna etmek amacıyla genellikle COVID-19 salgını gibi küresel olaylardan yararlanır. YouTube, 2021’den bu yana, genellikle oyun hilelerini ve crack’lerini tanıtan videoların açıklamalarına kötü amaçlı bağlantılar yerleştirerek kötü amaçlı yazılım yaymak için başvurulan konumlardan biri oldu.
2 Numaralı Kötü Amaçlı Yazılım – Vidar
Vidar kötü amaçlı yazılımı, dil tercihlerine göre belirli bölgeleri hedeflemek için karmaşık taktikler kullanan ve belirli ülkeleri daha fazla enfeksiyon için beyaz listeye alan kötü şöhretli Arkei Stealer’ın bir evrimidir. Anahtar dizeleri başlatır ve işlem için bir Mutex oluşturur. Bilgisayar korsanlarının iki farklı C2 sürümüne erişimi var: ücretli Vidar Pro ve crackli sürümlerle ilişkili yeraltında dağıtılan Anti-Vidar.
2022’de Vidar’ın, genellikle Microsoft Derlenmiş HTML Yardımı (CHM) dosyalarında gizlenen kimlik avı kampanyalarında tespit edildiği görüldü. Ayrıca dağıtım, PPI kötü amaçlı yazılım hizmeti PrivateLoader, Fallout Exploit Kit ve Colibri yükleyici aracılığıyla genişletildi. 2023’ün sonlarında Vidar, GHOSTPULSE kötü amaçlı yazılım yükleyicisi aracılığıyla da yayılıyordu.
3 Numaralı Kötü Amaçlı Yazılım – Rakun Hırsızı
İlk olarak 2019 yılında Rusça dildeki Exploit forumunda yer alan Raccoon Stealer kötü amaçlı yazılımı, ‘hizmet olarak kötü amaçlı yazılım’ modeli altında çalışarak müşterilerin onu aylık olarak kiralamasına olanak tanıyor. “Biz çalıyoruz, sen anlıyorsun!” sloganıyla reklamı yapılıyor. Rakun hırsızı, öncelikle Exploit ve WWH-Club gibi Rusça konuşulan yeraltı forumlarında kendine yer buldu. Erişim alanını genişleten tehdit aktörü, 2019’un sonlarına doğru bunu İngilizce platform olan Hack Forums’da sunmaya başladı.
Raccoon Stealer’ı satanlar, kötü amaçlı yazılımı “test haftaları” ile pazarlayarak bilgisayar korsanlarına ürünü kullanmaya başlamadan önce ürünü deneme fırsatı verdikleri bile biliniyor.
Çalınan kimlik bilgileri ve şifrelerin yeniden kullanılması sorunu
Siber suçlar alanında çalınan kimlik bilgileri son derece imrenilen varlıklardır. Bazı tehdit aktörleri bunları daha sonraki saldırılar için doğrudan kullanırken, birçoğu finansal kazanç elde etmek için bunları karanlık ağda toplu olarak satmayı tercih ediyor. Yalnızca Tor tarayıcı ve VPN hizmetleri gibi özel yazılımlarla erişilebilen karanlık ağ, özel verilerin ticaretini sunuyor. Bu durum, burayı son kullanıcıların kimlik bilgilerinin İlk Erişim Aracıları (IAB’ler) arasında alınıp satılabileceği tehlikeli bir alan haline getiriyor ve kuruluşlar için önemli bir risk oluşturuyor.
Karanlık ağın gizli doğası ve ele geçirilen kimlik bilgilerinin tespit edilmesindeki zorluklar nedeniyle kuruluşlar genellikle kullanıcılarının kimlik bilgilerinin ele geçirilip geçirilmediğini tespit etmekte zorlanır. Parolanın yeniden kullanımı, güvenli olmayan platformlarda yeniden kullanıldığında güçlü parolaların bile tehlikeye girebileceğinden büyük bir güvenlik açığı sunar. Etkili tehdit istihbaratı veya tarama araçları olmadan kuruluşlar, çevrimiçi satışa sunulan, güvenliği ihlal edilmiş şifreleri tespit etmekte zorlukla karşı karşıya kalır.
RedLine gibi şifre çalan kötü amaçlı yazılımların etkinliği abartılamaz, ancak birçok kuruluş bu kötü amaçlı yazılım tehditlerine karşı savunma sağlayacak korumalara sahip olmayacaktır. Sorun parolanın yeniden kullanılmasıyla ilgilidir. Active Directory’nin, karanlık ağda dolaştığı bilinen risk altındaki şifrelere karşı sürekli taranması, bu tür riskleri azaltmak için çok önemlidir, çünkü şifrenin yeniden kullanımı da dahil olmak üzere insan davranışı, en yaygın zorluk olduğunu kanıtlamaktadır.
Çalışanların iş şifrelerini güvenli olmayan uç noktalarda ve uygulamalarda yeniden kullanması halinde, yürürlükteki tüm koruma ve güvenlik protokolleri çözülecek ve bu da şirketin daha geniş anlamda bilgisayar korsanlarının hedefine girmesine neden olacak. LastPass’ın araştırmasına göre, kullanıcıların %91’inin şifrelerin yeniden kullanımının riskini anladığı, ancak %61’inin uygulamaya devam ettiği göz önüne alındığında bu analiz, şifreleri çalmak için mevcut araçları ayrıntılı bir şekilde ortaya koyuyor. Bu da genel zorluğu daha da artırıyor.
Çözüm
Sonuç olarak kuruluşların, ele geçirilen parolaların dolaşımda olmamasını sağlamak için yeterli parola politikalarına ve korumaya ihtiyaçları vardır. Bu, Active Directory’nin sürekli taranmasıyla gerçekleştirilebilir ve süreci hızlı bir şekilde başlatmak için ücretsiz şifre denetim araçları mevcuttur. Tehdit istihbaratı ve şifre korumasının bir arada kullanılması, bilinen ihlal edilmiş şifrelerden kaynaklanan en son tehditlerin önünde kalmak için çok önemlidir.
Reklam