Pamuk Prenses’in en son uyarlaması ılık resepsiyonla tiyatrolara çarptığından, Disney+ gibi platformlarda akış seçeneklerinin olmaması, birçok izleyicinin çevrimiçi korsan versiyonlar aramasına yol açtı.
Bu eğilim yeni değil; Dijital bir seçenek olmadan her büyük film sürümü, saldırganların evden izlemeye istekli kullanıcıları kullanmaları için ana fırsat haline gelir.
Veriti’nin araştırma ekibi tarafından belirlenen yeni bir kampanya, torrent siteleri aracılığıyla dağıtılan sofistike bir kötü amaçlı yazılımları içeren bu riski vurgulamaktadır.
Veriti araştırmacıları, “Teamesteam” web sitesindeki bir blog yayınının korsan kar beyaz (2025) sürümü için bir indirme bağlantısı sunduğunu buldular.
Ancak, bu yazı kötü niyetliydi, kullanıcıları enfekte bir dosya paketi içeren bir torrente yönlendirdi. Saldırganlar muhtemelen bir XSS güvenlik açığından yararlandı veya siteye erişmek için sızdırılmış yönetici kimlik bilgilerini kullandı.
Bu blog girişi, kullanıcıları, gerekli bir kodlama yükleyicisi olarak poz veren kötü amaçlı yürütülebilir bir paket içeren üç dosyalı bir paket içeren bir torrent indirmeye yönlendirdi.
Kötü amaçlı yazılımların analizi
Torrent’i inceledikten sonra Veriti analistleri, gerekli bir video kodek olduğunu iddia eden XMPH_CODEC.EXE adlı şüpheli bir dosya keşfetti.
Dosya, çalıştırıldığında gelişmiş bir kötü amaçlı yazılım dağıtım sürecini tetikledi. Temel bulgular şunları içerir:
- Tespit: Virustotal’daki 73 güvenlik satıcısının 50’si tarafından kötü niyetli olarak tanımlandı.
- Derleme: 12 Temmuz 2024’te önceki kampanyalardan yeniden kullanılmayı önerdi.
- İmzasız yürütülebilir: Kökeni hakkında kırmızı bayraklar yükseltir.
- Kötü niyetli eylemler: Ek kötü amaçlı dosyalar bırakır, TOR tarayıcısını sessizce yükler, karanlık bir web .onion etki alanı ile iletişimi başlatır ve Windows Defender’ı ve diğer güvenlik özelliklerini devre dışı bırakır.
Kötü amaçlı yazılım, soğan ağında bir C2 sunucusu ile iletişim kurar:
- http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion
- http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion/route.php
Bu kampanya, iletişimi maskelemek ve tespitten kaçınmak için TOR ağının anonim doğasından yararlanır.
Snow Pamusu gibi büyük filmler için dijital akış seçeneklerinin olmaması, kullanıcıları yasadışı indirmelere yönlendirmeye devam ederek saldırganlar için ideal bir ortam yaratıyor.
Kullanıcılara çevrimiçi dijital içerik ararken ve bu tür sofistike kötü amaçlı yazılım kampanyalarına avlanmaktan kaçınmak için saygın akış hizmetleri kullanmaları tavsiye edilir.
Bu sadece cihazlarını korumakla kalmaz, aynı zamanda yasal içerik oluşturucuları da destekler. Siber güvenlik gelişmeye devam ettikçe, bu taktikler hakkında bilgi sahibi kalmak dijital güvenliği korumak için çok önemlidir.
Uzlaşma Göstergeleri (IOCS)
- Dosya Hashes:
- 9C1A0608BAE91AF50096ACAEC9D979DF9F9A3B679D20972D6CFEB9582BB
- 2C555C34F0AF1514501CA5E4D999C843D5B9DE7973467820FCF60A517C4CC
- 8B81B0017C0E154C1FDEA226F1AD0D3CFC01AF05698BDBB7D0D6037D71A12
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.