Bir dizi Domino kötü amaçlı yazılım dosyasını zorlayan bir kötü amaçlı yazılım topluluğuna göz atıyoruz.
Dikkatsiz organizasyonları cezalandırmaya odaklanan yeni bir kötü amaçlı yazılım türünü zorlamak için tanınmış tehdit oluşturucuların üyelerinden bir araya getirilmiş yeni bir fidye yazılımı çetesi var. “Domino” adlı kötü amaçlı yazılım ailesi, FIN7 ve eski Conti fidye yazılımı üyelerinin buluşudur.
IBM Security Intelligence araştırmacılarına göre Domino, en az Şubat 2023’ten beri saldırılarda görülüyor. Domino, Cobalt Strike gibi arka kapıların ve Project nemesis gibi bilgi hırsızlarının yayılmasını artırmak için kullanılıyor.
Bu özel grubun daha önce, IcedID (modüler bir bankacılık truva atı) ve kötü şöhretli Emotet gibi çeşitli iyi bilinen dosyalara hizmet veren “Dave Loader” adlı bir kötü amaçlı yazılım yükleyiciden yararlandığı görülmüştür. İkincisi, ek kötü amaçlı yazılım dosyaları dağıtmak üzere kollara ayrılan başka bir bankacılık truva atı, en son IRS temalı bir spam kampanyasında görüldü. IBM araştırmacılarının belirttiği gibi, bunların her ikisi de genellikle fidye yazılımı saldırıları için bir başlangıç noktası olarak kullanılır.
Son zamanlarda, artık Domino dosyaları olarak bilinenler ve özellikle Domino Backdoor dahil olmak üzere Dave Loader saldırıları gözlemlendi. “Temel sistem bilgilerini” toplamanın yanı sıra, ilk sistem verileri komuta ve kontrol merkezine gönderildikten sonra şifreli bir yük alır.
Hedef PC’ye yerleştirilen dosyanın orijinal Domino Backdoor’a yeterince benzer olduğu bulundu ve dosyaya Domino Loader adı verildi. Bu Yükleyici, bir .NET bilgi hırsızı olan Nemesis Project adlı bir yükü düşürür.
Bu “proje” hırsızı birkaç yıldır ortalıkta dolaşıyor ve oyun platformları, VPN’ler ve kripto para cüzdanları dahil olmak üzere çok sayıda tarayıcı ve uygulamadan veri toplamaya çalışıyor. Araştırmacılar, söz konusu hırsızın orijinal olarak forumlarda 1.300 $ satış fiyatıyla ilan edildiğini ve veri hırsızlığı açısından dosyanın yazarının şunları söylediğini belirtiyor:
- Chromium tarayıcılarından veri toplama (şifreler, çerezler, yer imleri, geçmiş)
- Gecko tarayıcılarından veri toplanması (çerezler, şifreler, geçmiş)
- Bağlantıları masaüstünden alma
- Sistem bilgilerinin HTML biçiminde toplanması
- telgraf oturumları
- Discord jetonlarının toplanması
Ayrıca, bir sanal makinenin içinde başlatmayı engelleyecek (genellikle kötü amaçlı yazılım dosyalarını test etmek için kullanılır), bir BDT ülkesinde çalıştığı tespit edilirse başlatmayı kilitleyecek ve çalınan verileri gönderdikten sonra kendi kendini silecek şekilde ayarlanabilir. Tüm bunların yanı sıra Nemesis, çevrimiçi olarak çalıştırılan ve verilere erişilebilen bir kontrol paneli ile birlikte gelir. Sonuç olarak, ağınızda gizlenmesini isteyeceğiniz bir şey değil.
Bleeping Computer, çoğu fidye yazılımı grubunun ve kötü amaçlı yazılım yazarının genellikle birlikte çalıştığının altını çiziyor, çünkü bu genellikle bir ağdan ödün vermeye başlamanın daha kolay bir yolu. Dosyaların ve izinsiz giriş taktiklerinin sürekli olarak birleştirilmesi, kuruluşların en son saldırı dalgasıyla başa çıkmasını zorlaştırıyor ve ayrıca güvenlik araştırmacılarını tetikte tutuyor. Bu mevcut kampanya, ne yazık ki, farklı değil.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE