Bilgisayar korsanları öncelikle sundukları kazançlı finansal fırsatlar nedeniyle kumar oyunlarını hedef alıyor. Çevrimiçi kumar endüstrisi, “mali kazanç” ve “veri hırsızlığı” amacıyla güvenlik açıklarından yararlanmaya çalışan tehdit aktörleri için zengin bir bölgedir.
ASEC’teki siber güvenlik analistleri yakın zamanda tehdit aktörlerinin kötü şöhretli WrnRAT’ı kumar oyunları gibi taklit ederek aktif olarak dağıttıklarını keşfetti.
ASEC kısa süre önce, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak amacıyla “badugi”, “2 oyunculu go-stop” ve “hold’em” gibi popüler Kore kumar oyunları sunan yanıltıcı web siteleri oluşturduğu karmaşık bir kötü amaçlı yazılım operasyonunu ortaya çıkardı.
Strategies to Defend Websites & APIs from Malware Attack -> Free Webinar
WrnRAT Kumar Oyunları Olarak Sunuldu
Kullanıcılar oyun başlatıcı gibi görünen bir şeyi indirdiğinde, sistem ilk önce toplu komut dosyasının (Korece dilindeki yorumları içeren) ve ardından “.NET tabanlı damlalık kötü amaçlı yazılımın” (dağıtılmış) yürütüldüğü “çok aşamalı bir enfeksiyon süreci” başlatır. “Installer2.exe”, “Installer3.exe” ve “installerABAB.exe”) gibi dosya adları altında, “WrnRAT” olarak bilinen ana kötü amaçlı yükü yükleyip çalıştırır.
.webp)
Bu damlalık, hem bir başlatıcı bileşeni hem de WrnRAT kötü amaçlı yazılımının kendisini oluşturarak, başlatıcı aracılığıyla WrnRAT’ı çalıştırarak ve ardından tespit edilmekten kaçınmak için kendi kendini silerek çalışır.
Son aşama, WrnRAT’ın “Internet Explorer” kılığına girerek sistemde kendisini kurmasını ve yasal sistem işlemlerine uyum sağlamak için “iexplorer.exe” adlı bir dosya oluşturmasını içerir.
Kötü amaçlı yazılım aynı zamanda HFS platformları aracılığıyla da dağıtıldı; bazen bilgisayar optimizasyon yazılımı görünümüne bürünerek tehdit aktörlerinin farklı dağıtım stratejilerini ortaya koydu.
.webp)
Başarılı bir şekilde yüklendikten sonra WrnRAT, saldırganlara virüslü sistem üzerinde uzaktan kontrol yetenekleri sağlar ve ele geçirilen makineden hassas bilgileri çalmalarına olanak tanır.
WrnRAT, “Python programlama dili” kullanılarak geliştirilen ve “PyInstaller” aracılığıyla yürütülebilir bir dosyaya paketlenen karmaşık bir kötü amaçlı yazılımdır.
Bu RAT öncelikle virüslü bilgisayarlardan “ekran görüntüleri” yakalayıp saldırganın sistemine paylaşarak çalışır.
Sadece bu değil, aynı zamanda “temel sistem bilgilerini de topluyor” ve belirli “çalışan süreçleri” sonlandırma yeteneğine sahip.
Kötü amaçlı yazılım yazarları, tespit edilmekten kaçınmak için “güvenlik duvarı yapılandırmalarını” değiştiren ek araçlar geliştirerek cephaneliklerini genişletti.
Burada tehdit aktörlerinin temel motivasyonunun “mali sömürü” olduğu görülüyor.
Kurbanların oyunlarını, özellikle “yasadışı kumar platformlarına” katılan kullanıcılar için önemli “parasal kayıplara” yol açan izinsiz “ekran görüntüleri” aracılığıyla izledikleri için.
Tehdit aktörleri, ekran yakalama işlevi aracılığıyla “oyuncuların ellerini”, “bahis kalıplarını” ve “stratejileri” gerçek zamanlı olarak gözlemleyerek haksız avantajlar elde edebilir veya hassas bilgileri çalabilir.
Azaltmalar
Aşağıda tüm azaltımlardan bahsettik: –
- Yazılımı yalnızca resmi mağazalardan ve doğrulanmış kaynaklardan indirin.
- Sağlam bir AV çözümüne sahip olduğunuzdan emin olun.
- Cihazınızı her zaman en son güvenlik güncellemeleriyle güncel tutun.
IoC’ler
MD5
0159b9367f0d0061287120f97ee55513
03896b657e434eb685e94c9a0df231a4
0725f072bcd9ca44a54a39dcec3b75d7
0d9e94a43117a087d456521abd7ebc03
1b8dfc3f131aaf091ba074a6e4f8bbe6
AhnLab TIP.URL adresinde ek IOC’ler mevcuttur
http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/MicrosoftEdgeUpdate[.]exe
http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/bound[.]exe
http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/iexplore[.]exe
http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/installerABAB[.]cmd
http[:]//112[.]187[.]111[.]83[:]5723/installerABAB/installerABAB[.]exe
AhnLab TIP.FQDN’de ek IOC’ler mevcuttur
aaba1[.]kro[.]kr
delete1[.]kro[.]kr
inddio23[.]kro[.]kr
nt89kro[.]kr
nt89s[.]kro[.]kr
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!