WrnRAT, siber suçluların Badugi, Go-Stop ve Hold’em gibi popüler kumar oyunlarını kullanarak kendisini kötü amaçlı bir program olarak gizlemek için kullandıkları yeni bir kötü amaçlı yazılım saldırısıdır.
Saldırganlar, erişildiğinde kullanıcılardan bir oyun başlatıcı indirmelerini isteyen sahte bir kumar web sitesi oluşturdu.
Başlatıcı, oyunu başlatmak yerine kötü amaçlı WrnRAT yazılımını yükler.
WrnRAT kurulduktan sonra saldırganlara virüslü sistem üzerinde uzaktan kontrol olanağı vererek hassas bilgileri çalmalarına ve potansiyel olarak daha fazla kötü amaçlı eylem gerçekleştirmelerine olanak tanıyor.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Muhtemelen başlangıçta Korece yorumlu bir toplu komut dosyası aracılığıyla yüklenen kötü amaçlı yazılım, HFS gibi platformlar aracılığıyla dağıtılıyor.
HFS bir damlalık görevi görerek sisteme ek kötü amaçlı yazılımlar sokar. Kötü amaçlı yazılımın birincil işlevinin veri hırsızlığı olduğu görülüyor ve özellikle hassas bilgileri hedef alabiliyor.
Yükleyici kılığına giren .NET tabanlı kötü amaçlı yazılım, sistemlere sızıyor. Çalıştırıldığında, bir başlatıcı ve WrnRAT truva atı oluşturarak onu Internet Explorer dizininde “iexplorer.exe” olarak maskeliyor.
Başlatıcı, kötü amaçlı faaliyetler gerçekleştirmesini sağlayan WrnRAT’ı başlatmaktan sorumludur.
Bundan sonra, başlatıcı kendi kendini yok ederek, sistemi tehlikeye atabilecek gizli WrnRAT truva atını geride bırakır.
Python tabanlı bir kötü amaçlı yazılım olan WrnRAT, öncelikle ekran yakalama aracı olarak işlev gören yürütülebilir bir dosya olarak dağıtılır.
Yakalanan görüntüleri uzak bir sunucuya iletir ve aynı zamanda temel sistem bilgilerini toplama ve belirli işlemleri sonlandırma yeteneğine de sahiptir.
.webp)
Güvenlik duvarı ayarlarını değiştirmek için ek kötü amaçlı yazılımların konuşlandırılmasıyla, tehdit aktörü saldırıyı daha da artırır ve bu da tehdidin tespit edilmesini ve tepki verilmesini zorlaştırabilir.
Çeşitli kötü amaçlı komutları yürütebilen ve IP adresi, MAC adresi, istemci kimliği ve ağ geçidi dahil olmak üzere sistem bilgilerini isteyebilen ve iletebilen bir uzaktan erişim Truva Atı’dır (RAT).
Ayrıca, virüslü sistemdeki belirli hedef işlemleri sonlandırarak izlemeyi etkinleştirme veya devre dışı bırakma ve yakalama gecikmesini ve kalitesini ayarlama da dahil olmak üzere ekran yakalama işlevselliğini de kontrol edebilir.
ASEC’e göre son dönemdeki siber saldırılar, kumar oyunlarıyla ilgilenen kişileri, özellikle de 2 oyunculu go-stop, hold’em ve badugi oynayanları hedef aldı.
Kötü niyetli aktörler, oynanış ekran görüntüleri de dahil olmak üzere hassas bilgileri çalmak için bu oyunların görünümüne sahip kötü amaçlı yazılımlar dağıtıyor.
Bu, saldırganların kullanıcı etkinliğini izlemesine olanak tanıyarak hem meşru hem de gayri meşru oyuncular için potansiyel olarak mali kayba yol açabilir.
Bu tehdidi azaltmak için kullanıcıların oyun yükleyicilerini indirirken dikkatli olmaları, şüpheli kaynaklardan kaçınmaları ve V3 gibi antivirüs yazılımlarını güncel tutmaları gerekiyor. Bu tür saldırılara karşı sağlam koruma sağlamak için bu çok önemlidir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!