Cyble Research & Intelligence Labs (CRIL), “Rhadamanthys Stealer” adlı yepyeni bir kötü amaçlı yazılım çeşidi keşfetti. Bu kötü amaçlı yazılım hırsızı varyasyonu şu anda kullanımda ve onu oluşturan tehdit aktörleri, Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) iş modeli aracılığıyla satışa sunuyor.
Rhadamanthys hırsızı, kullanıcıları Zoom, AnyDesk, Notepad++, Bluestacks vb. gibi popüler programlara benzeyen kimlik avı web sitelerini ziyaret etmeleri için kandırarak yayılır. Zararlı yükü içeren bir ek içeren spam e-postalar aracılığıyla yayılabilir.
Ayrıca popüler yazılımları indirmeye çalışan tüketicileri hedefleyen bu kampanyada sahte Google Ads kullanılmaktadır.
Rhadamanthys Hırsızı Bir Spam E-posta Yoluyla Teslim Edildi
“Statement.pdf” PDF ekli spam e-postalar, Rhadamanthys hırsız kötü amaçlı yazılımının kaynağıdır.
Spam e-postanın ekini açarken, bir mesaj onu “Adobe Acrobat DC Updater” olarak tanımlar ve bir “Güncellemeyi İndir” indirme bağlantısı sağlar.
Bir kullanıcı “Güncellemeyi İndir” bağlantısını tıkladığında, belirtilen URL’den kötü amaçlı yürütülebilir dosyayı indirir. Yürütme üzerine, hırsızı çalıştırır ve kurbanın makinesinden hassas bilgileri çalmasına izin verir.
Google Reklamlarını Kullanarak Kötü Amaçlı Yazılım Dağıtımı
Bu kampanyanın arkasındaki TA’lar, ziyaretçileri suç teşkil eden eylemlerde bulunan hırsız kötü amaçlı yazılımı yüklemeleri için kandırmak amacıyla, güvenilir web sitelerini taklit eden son derece ikna edici bir kimlik avı web sayfası da oluşturdu. Google reklamları, bu kimlik avı web sitelerine bağlantıyı tanıtmak için kullanılır.
Bu Kötü Amaçlı Yazılımı Yaymak İçin Oluşturulan Kimlik Avı Etki Alanları:
- bluestacks kurulumu[.]iletişim
- yakınlaştırma kurulumu[.]iletişim
- yükleme-yakınlaştırma[.]iletişim
- herhangi bir masayı kur[.]iletişim
- kurulum-anydeslk[.]iletişim
- zoom-toplantı-kurulum[.]iletişim
- zoom-toplantıları-indir[.]iletişim
- anydleslk-indir[.]iletişim
- zoomvideo kurulumu[.]iletişim
- zoom-video-kurulum[.]iletişim
- yükleyici yakınlaştırma[.]iletişim
- noteepad.hasankahrimanoglu[.]iletişim[.]tr
Kimlik avı web siteleri, ilgili yazılım için gerçek bir yükleyici gibi görünen bir yükleyici dosyası da indirir. Hırsız kötü amaçlı yazılım, kullanıcının haberi olmadan uygun uygulamayla birlikte gizlice yüklenir.
“Uzak sunucudan bir steganografi görüntüsünün indirildiğini gözlemledik. Kabuk kodunun, gerçek Rhadamanthys yükünü elde etmek için steganografi görüntüsünün şifresini çözdüğünden şüpheleniyoruz”, CRIL.
Rhadamanthys hırsızı, bir dizi Windows Yönetim Araçları (WMI) sorgusu çalıştırarak sistem verilerini toplamaya başlar. Toplanan veriler bilgisayarın adını, kullanıcı adını, işletim sistemi sürümünü, RAM ve CPU bilgilerini, HWID’yi, saat dilimini, kullanıcıyı ve klavye dilini vb. içerir.
Kötü amaçlı yazılım, kurbanın bilgisayarında yüklü tarayıcıların klasörlerinde tarama geçmişleri, yer imleri, çerezler, otomatik doldurmalar, oturum açma kimlik bilgileri vb. dahil olmak üzere tarayıcıyla ilgili dosyaları arar.
“Brave, Edge, Chrome, Firefox, Opera Software, Sleipnir5, Pale Moon, CocCoc, vb. gibi farklı tarayıcıları hedefliyor”, CRIL
Araştırmacılar, hırsız kötü amaçlı yazılımın farklı kripto cüzdanlarını hedef almak ve onlardan veri toplamak için yapıldığını söylüyor.
Hırsız ayrıca FTP istemcileri (CoreFTP, WinSCP), e-posta istemcileri (Foxmail, Thunderbird, Outlook, TrulyMail, GmailNotifierPro), Dosya yöneticileri (Total Commanders), parola yöneticileri (RoboForm, KeePass), VPN hizmetleri (NordVPN, ProtonVPN, Windscribe VPN, OpenVPN), mesajlaşma uygulamaları (Tox, Discord, Telegram) ve diğerleri.
Araştırmacılar, “Kullanıcıların istenmeyen e-postalar alırken veya kimlik avı yapan web sitelerini ziyaret ederken dikkatli olmaları ve herhangi bir uygulamayı indirmeden önce kaynağı doğrulamaları çok önemlidir”, diye bitiriyor araştırmacıları.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin