GitHub Üzerinden Fidye Yazılımı Dağıtan Sahte WinRar Web Sitelerine Dikkat Edin


GitHub Üzerinden Fidye Yazılımı Dağıtan Sahte WinRar Web Sitelerine Dikkat Edin

Tehdit aktörleri genellikle kullanıcıları kişisel verilerini ifşa etmeye kandırmak için sahte web sitelerini kullanır. Sadece bu değil, bu sahte web siteleri kötü amaçlı yazılım dağıtmak, kimlikleri çalmak ve kimlik avı saldırılarını kolaylaştırmak için de kullanılır.

SonicWall siber güvenlik araştırmacıları, kötü amaçlı yazılımları dağıtmak için typosquatting yöntemini kullanan aldatıcı bir WinRar benzeri web sitesi keşfetti.

DÖRT

Bu ilk enfeksiyon, fidye yazılımı, kripto madenciliği yazılımı ve bilgi çalan kötü amaçlı yazılımlar da dahil olmak üzere GitHub’dan birden fazla kötü amaçlı bileşenin indirilmesini tetikler.

Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access

Sahte WinRar Web Siteleri Fidye Yazılımı Sunuyor

Sahte web sitesi win-rar[.]co, meşru win-rar.com’u taklit etmek için typosquatting’i kullanır.

Sahte web sitesi Win-rar.co (Kaynak – SonicWall)

GitHub’dan ek zararlı bileşenlerin indirilmesini başlatan kötü amaçlı bir kabuk betiği olan zx.ps1’i barındırır.

Sahte WinRar sitesinde barındırılan zx.ps1 kabuk betiği (Kaynak – SonicWall)

GitHub’daki “encrypthub” projesinin incelenmesi, bu çok aşamalı kötü amaçlı yazılım saldırısında kullanılan dosyaların tamamını içermesi muhtemel bir deponun bulunduğunu ortaya çıkardı.

GitHub’da barındırılan ana kötü amaçlı yazılım projesi sayfası (Kaynak – SonicWall)

Çeşitli kötü amaçlı yazılım araçları, geçen hafta aşağıdakileri içerecek şekilde güncellenen “encrypthub” GitHub deposunda mevcuttur:

  • Windows Defender hariç tutmaları
  • Ngrok ile HVNC
  • Fidye yazılımı
  • Kripto madencisi
  • Hırsızın Ölümü
  • Telegram raporlaması
  • Kabuk kodu enjeksiyonu
  • Koordinasyonlu bir senaryo

Her bileşen sistem bilgilerinin bir Telegram hesabına gönderilmesiyle başlayacak.

Ancak, bu bileşenlerin hepsini aynı anda içeren bir saldırı tespit edilememiştir, ancak bu silah deposu, tehdit aktörlerinin karmaşık, çok aşamalı saldırılar gerçekleştirme yeteneğini temsil etmektedir.

Bu, GitHub projesini, win-rar’daki zx.ps1’i taklit eden shellcode.ps1’e sahip olarak typosquatting kampanyasına daha da bağlar[.]Bu tür tehditleri azaltmak için, kullanıcıların kurulumlar sırasında dikkatli olmaları ve yazılım kaynaklarını doğrulamaları önemle tavsiye edilir.

Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download



Source link