Bu Invicta kötü amaçlı yazılımının yaratıcısı, bilgi çalan kötü amaçlı yazılımlarının ve ölümcül güçlerinin reklamını yapmak için sosyal ağ sitelerinde yoğun bir şekilde aktiftir.
GoDaddy geri ödeme e-postaları, bilgisayar korsanlarının müşterileri kötü amaçlı yazılım indirmeleri için kandırmak için kullandıkları yaygın bir araç haline geldi.
Yükü özellikle yeni bir yaklaşımla veya bir yaklaşım koleksiyonuyla başlatmaya karar verdiler. Yük, özel bir ücretsiz açık kaynaklı Invicta Stealer’dır.
Invicta Stealer sistem verilerini, donanım bilgilerini, cüzdan verilerini, tarayıcı verilerini ve Steam ve Discord gibi uygulamalardan bilgi toplayabilir.
Cyble Research and Intelligence Labs (CRIL), Invicta Stealer adlı bu yeni hırsızı keşfetti.
Araştırmacılar, “CRIL, GitHub sayfasında oluşturucu bulunması nedeniyle Invicta Stealer’ın yaygınlığında önemli bir artış fark etti ve bu da çok sayıda TA’nın onu şüphesiz kullanıcılara bulaştırmak için aktif olarak kullanmasına yol açtı” diye açıklıyor.
GoDaddy Geri Ödeme E-postasında Kimlik Avı
Araştırmacılara göre bulaşma, alıcıları bunun GoDaddy’den gelen gerçek bir geri ödeme faturası olduğuna inandırmayı amaçlayan yanıltıcı bir HTML sayfası içeren bir spam e-postayla başlıyor.
Kimlik avı HTML sayfasını görüntüleyen kullanıcılar, hemen “Invoice.zip” dosyasını indirebilecekleri bir Discord URL’sine yönlendirilir. HTML sayfasının, kullanıcıları “Invoice.zip” dosyasını indirebilecekleri Discord URL’sine yönlendirdiği mekanizma.
“Invoice.zip” arşiv dosyasının içerisinde “INVOICE_MT103.lnk” isimli kısayol dosyası bulunmaktadır. Kullanıcı bu .LNK dosyasını açtığında, TAs Discord sunucusunda barındırılan bir .HTA dosyasını çalıştıran bir PowerShell komutunu tetikler”, araştırmacılar.
Bu HTA dosyasında VBScript kodu vardır ve bu VBScript kodu daha sonra bir PowerShell betiği çalıştırır. PowerShell komut dosyası, son derece kötü bir Invicta Stealer indirir.
Yürütmenin ardından, hırsız çok çeşitli sistem verilerini toplar.
Bilgisayarın adı, sistem kullanıcı adı, sistem saat dilimi, sistem dili, işletim sistemi sürümü ve o anda çalışan işlemlerin adları gibi ayrıntılar vardır.
Hırsız ayrıca bilgisayardan ana RAM miktarı, CPU çekirdeği sayısı, ekran çözünürlüğü, cihaz kimliği, IP adresi ve coğrafi IP bilgisi gibi donanımla ilgili verileri toplamak için yöntemler kullanır.
Hedeflenen web tarayıcılarının listesi:
Hedeflenen kripto para cüzdanlarının listesi:
Araştırmacılar, “Amacı, aktif oyun oturumları, kullanıcı adları ve kullanıcının sisteme yüklediği oyunların kapsamlı bir listesi gibi önemli bilgileri çalmak” diyor.
Daha az popüler olan ancak yine de beklenen KeyPass şifre yöneticisi uygulamasını da hedefleyebilir.
Son düşünceler
Invicta Stealer, farklı uygulamalar ve tarayıcılarda çok sayıda son derece hassas bilgi türünü hedefleme kapasitesi nedeniyle özellikle zorlu bir tehlike olarak öne çıkıyor.
Saldırganlar, çalınan bu bilgileri diğer kişi veya şirketlere yönelik saldırılar başlatmak için kullanabilecekleri gibi, finansal çıkarlarını artırmak için de kullanabilirler. Bu tehdidin ciddiyetinin farkına varılması ve bu tür hain eylemlere karşı gerekli önlemlerin alınması zorunludur.
Cihaz Duruş Güvenliği ile Kimlik Avı Saldırılarını Durdurun – Ücretsiz E-Kitap İndirin