Tehdit aktörleri, yaygın kullanımı ve sunduğu özellikler nedeniyle sıklıkla popüler kod depolama platformu “GitHub”ı hedef alıyor.
Gen DIgital’deki siber güvenlik analistleri yakın zamanda tehdit aktörlerinin ‘Lumma’ adlı bir bilgi hırsızını yaymak için GitHub’ı kullandığını keşfetti.
Bu gelişmiş kötü amaçlı yazılım, GitHub depoları aracılığıyla aktif olarak tanıtılan bir InfoStealer olarak sınıflandırılıyor.
Lumma, enfekte olmuş sistemlerden oturum açma kimlik bilgileri, finansal bilgiler ve kripto para cüzdanları gibi hassas verileri sızdırmak için tasarlanmıştır.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
Teknik Analiz
Lumma Stealer, profesyonel siber suçlular tarafından geliştirilen gelişmiş bir kötü amaçlı yazılımdır ve şu anda piyasada bulunan en gelişmiş hırsızlardan biridir.
Kötü Amaçlı Yazılım Hizmeti (MaaS) modelinin bir türü olarak, tarayıcılarda kayıtlı parolalar, çerezler, kripto para ve e-posta istemcilerinin verileri gibi hassas verileri ele geçirmek için kötü niyetli bir şekilde yönetilir.
Bu aynı zamanda Lumma’nın Google hesabına giriş sırasında oturum çerezi kötüye kullanımının kurtarılması gibi oldukça sezgisel olan yeni saldırı vektörleri geliştirdiği çok az örnekten biridir.
Kötü amaçlı yazılımın yaratıcıları, GitHub’ın kaldırma çabalarını geride bırakarak sürekli olarak yeni yorumlar ekliyor. Bu yorumlar, mediafire’daki şifrelenmiş arşivlere bağlantılar içeriyor[.]com, genellikle “changeme” şifresiyle.
.webp)
GitHub’daki kötü niyetli yorumlara gelince, kötü amaçlı gönderilerin hacmi hala bir sorun olmaya devam ediyor, özellikle kurbanlar indirdikleri arşivleri indirmeye çalıştıklarında ve indirdikleri arşivleri hemen açtıklarında verilerini tehlikeye atıyorlar.
Siber suçlular, Lumma Stealer gibi kötü amaçlı yazılımları dağıtmak için GitHub ve YouTube gibi kaynakları kullanarak stratejilerini ayarlıyorlar.
Bu kampanyalar genellikle “Sahte Eğitimler” adı altında sunuluyor veya yazılımların kırık versiyonlarını sunarak ücretsiz alternatifler arayan kullanıcıları hedef alıyor.
Mevcut saldırılar, iyi İngilizce bilgisine sahip olunsa bile, zayıf İngilizce nedeniyle kesin olarak tespit edilebilirken, tehditler mesaj üretmek için üretken yapay zekayı kullanacağından sonraki saldırılar ikna edici hale gelebilir.
Bu trend, saldırganların kötü amaçlı yazılımları yaymak için Dropbox gibi çeşitli barındırma hizmetlerini kullanmasıyla birlikte birden fazla platformu kapsıyor.
Ücretsiz yazılımlar kötü amaçlı yazılımlarla kirlenmiştir ve bu terimler kullanıcıları sahte programlar ve yazılım kurulumlarıyla enfekte etmek için kullanılır.
Bu tür ücretli reklamlarda, sosyal medya reklamcılık uygulamaları iyileştikçe çeşitli sosyal medya ve geliştirme uygulamalarındaki kötü amaçlı reklamları hedeflemek ve bunlara atıf yapmak zor olabilir.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Güvenilir bir antivirüs yazılımı kullanın
- Şifrelerinizi değiştirin
- Tüm etkin oturumları sıfırla
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin
- Antivirüs programınızı güncel tutun
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial