Kötü amaçlı yazılım geliştiricisi, çocuk istismarcılarını şantaj yapmak için bal tuzağına çekiyor


Hacker ellerini sup tutuyor

Nadiren bir siber suçluyu desteklersiniz, ancak çocuk istismarcılarını hedef alan yeni bir kötü amaçlı yazılım kampanyası, kurbanlar adına kendinizi kötü hissetmenize neden olmaz.

2012’den bu yana tehdit aktörleri, virüslü Windows kullanıcılarını CSAM görüntüledikleri konusunda uyaran devlet kurumları gibi davranan çeşitli kötü amaçlı yazılım ve fidye yazılımları yaratıyor. Kötü amaçlı yazılım, mağdurlara, bilgilerinin kolluk kuvvetlerine gönderilmesini önlemek için bir “ceza” ödemeleri gerektiğini söylüyor.

Çocuk Pornolarına Karşı Spam Koruması veya ACCDFISA adı verilen ilk “modern” fidye yazılımı operasyonlarından biri, başlangıçta Windows masaüstlerini kilitlemek ve sonraki sürümlerde dosyaları şifrelemekle birlikte bu gasp taktiğini kullandı.

Çocuk Pornosuna Karşı Spam Koruması/ACCDFISA gasp kötü amaçlı yazılımı
Çocuk Pornosuna Karşı Spam Koruması/ACCDFISA gasp kötü amaçlı yazılımı
Kaynak: BleepingComputer

Kısa bir süre sonra, Harasom, Urausy ve Reveton truva atları gibi kolluk kuvvetleri gibi davranarak CSAM’yi izlemek için para cezası veren diğer kötü amaçlı yazılım aileleri de takip edildi.

Beklenmedik bir kahraman

Geçen hafta siber güvenlik araştırmacısı MalwareHunterTeam BleepingComputer ile ‘CryptVPN’ adı verilen kötü amaçlı yazılımın çalıştırılabilir bir örneğini paylaştı [VirusTotal] benzer gasp taktiklerini kullanıyorlar.

Ancak bu sefer kötü amaçlı yazılım geliştiricisi masum insanları hedeflemek yerine aktif olarak çocuk pornografisi arayanları hedef alıyor.

Kötü amaçlı yazılımı araştırdıktan sonra BleepingComputer, tehdit aktörlerinin Usenet’ten indirilen resim ve videolara “sansürsüz” erişim sağlayan bir abonelik hizmeti olan UsenetClub’u taklit etmek için bir web sitesi oluşturduğunu tespit etti.

Usenet, insanların abone oldukları “haber gruplarında” çeşitli konuları tartışmalarına olanak tanıyan çevrimiçi bir tartışma platformudur. Usenet çok çeşitli konularda geçerli tartışmalar için kullanılsa da aynı zamanda bilinen bir çocuk pornografisi kaynağıdır.

Tehdit aktörleri tarafından oluşturulan sahte bir site, UsenetClub gibi davranarak sitenin içeriğine üç abonelik katmanı sunuyor. İlk ikisi, aylık 69,99 ABD Doları ile yıllık 279,99 ABD Doları arasında değişen ücretli aboneliklerdir.

Ancak üçüncü bir seçenek, ücretsiz bir “CryptVPN” yazılımı kurup siteye erişmek için kullandıktan sonra ücretsiz erişim sağladığını iddia ediyor.

Sahte UsenetClub sitesi
Sahte UsenetClub sitesi
Kaynak: BleepingComputer

“İndir ve Yükle” düğmesine tıklamak, siteden çıkarıldığında “YÜKLEMEK İÇİN BURAYA TIKLAYIN” adlı bir Windows kısayolu içeren bir CryptVPN.zip dosyası indirecektir.

CryptVPN indirmesinde PowerShell kısayolu
CryptVPN indirmesinde PowerShell kısayolu
Kaynak: BleepingComputer

Bu dosya, CryptVPN.exe yürütülebilir dosyasını indirmek, C:\Windows\Tasks.exe dosyasına kaydetmek ve yürütmek için argümanlar içeren PowerShell.exe yürütülebilir dosyasının bir kısayoludur.

Windows kısayolunda PowerShell komutu
Windows kısayolunda PowerShell komutu
Kaynak: BleepingComputer

Kötü amaçlı yazılım yürütülebilir dosyası UPX ile doludur, ancak paket açıldığında yazarın kötü amaçlı yazılımı “PedoRansom” olarak adlandırdığını gösteren bir PDB dizesi içerir.

C:\Users\user\source\repos\PedoRansom\x64\Release\PedoRansom.pdb

Kötü amaçlı yazılımın özel bir yanı yok, yaptığı tek şey hedefin duvar kağıdını bir gasp talebine dönüştürmek ve masaüstüne benzer gasp tehditleri içeren README.TXT adlı bir fidye notu bırakmak.

Windows duvar kağıdı gasp talebiyle değiştirildi
Windows duvar kağıdı gasp talebiyle değiştirildi
Kaynak: BleepingComputer

Şantaj talebinde “Çocuk istismarı ve/veya çocukların cinsel istismarı ile ilgili materyal arıyordun. Saldırıya uğrayacak kadar aptaldın” yazıyordu.

“Bütün bilgilerinizi topladık, şimdi bize fidye ödemelisiniz, yoksa hayatınız sona erer.”

Gasp, kişinin bc1q4zfspf0s2gfmuu8h5k0679sxgxjkd7aj5e6qyl Bitcoin adresine on gün içinde 500 dolar ödemesi gerektiği, aksi takdirde bilgilerinin sızdırılacağı ifade edilerek devam ediyor.

Bu bitcoin adresine şu anda yalnızca yaklaşık 86 dolarlık ödeme alındı.

Tehdit aktörleri uzun süredir “seks şantajı” taktikleri kullanıyor ve genellikle çok sayıda kişiye toplu e-postalar göndererek onları korkutup gasp talebini ödemeye çalışıyor.

Bu taktikler başlangıçta çok iyi performans gösterdi; spam gönderenlerin ilk kampanyalarda haftada 50.000 dolardan fazla gasp etmesiyle.

Ancak zaman geçtikçe ve bu dolandırıcılıkların alıcıları daha akıllı hale geldikçe, seks şantaj kampanyaları eskisi kadar gelir getirmiyor.

Bu özel kampanya biraz daha yaratıcı olsa ve bu tür içerik arayan pek çok kişiyi korkutsa da, muhtemelen bu şantaj talebini ödeyen çok fazla insan görmeyeceğiz.





Source link