Cyble Research and Intelligence Labs’taki (CRIL) siber güvenlik uzmanları yakın zamanda sahte bir AnyDesk web sitesi tespit etti (hxxp://anydesk[.]ml).
Bu web sitesinin Mitsu Stealer’ı yaydığını buldular ve bu sofistike bir özel yapım 64-bit kötü amaçlı yazılım. Bu kötü amaçlı yazılım öncelikle, şüpheli olmayan kurbanlardan tüm hassas bilgileri çalmak için tasarlanmıştır.
Bu kötü amaçlı yazılımın en şaşırtıcı yönlerinden biri, GitHub’da ücretsiz olarak bulunan koddan oluşturulmuş olmasıdır.
Şu anda, web sitesi herhangi bir kötü amaçlı reklam kampanyasına dahil olmamıştır. Ancak, bu sahte web sitesinin operatörleri tarafından tanıtım amacıyla kullanılan ortamlar şunlardır: –
- kötü amaçlı spam
- SMS
- Sosyal ağlar
Enfeksiyon zinciri
Rapora göre, kimlik avı web sitesindeki İndirilenler düğmesine tıkladıktan sonra bulaşma zinciri başlar ve kullanıcı, kimlik avı sitesi tarafından gönderilen kötü amaçlı yazılımdan etkilenir. Mitsu Stealer kötü amaçlı yazılımı uzak sunucudan aşağıdaki biçimde indirildi:-
Microsoft Visual C++/C++ GUI’ye dayalı 64 bit Windows yürütülebilir dosyasıdır.
Görünüşü söz konusu olduğunda, kimlik avı sitesi ile Anydesk’in orijinal web sitesi arasında çok fazla benzerlik vardır. Kısacası, tehdit aktörleri sahte kimlik avı web sitesini orijinal web sitesinde bulunan tüm unsurlarla mükemmel bir şekilde tasarladı.
Aşağıda, sahte web sitesini daha özgün hale getirmek için tehdit aktörlerinin orijinalinden taklit ettiği diğer iki önemli husustan bahsettik:-
- Sahte işlerin açıldığı kariyer bölümü
Teknik Analiz
Mitsu Stealer, Python programlama dili kullanılarak oluşturuldu. Hırsız, yürütüldüğünde aşağıdaki yasa dışı eylemleri gerçekleştirir:-
- Python destekleyen dosyaları (örn. “.pyd” & “.dll” dosyaları) bırakır
- Hassas bilgileri çalar
- Başarılı yürütmeden sonra onları siler
Kötü amaçlı yazılımın yüklenmesi üzerine, artık kullanıcının bilgisayar sisteminde çalışan işlemlerin bir listesini oluşturacaktır. Ağ analiz aracı ile ilişkili süreçlerin isimlerini belirlemek için program süreçlerin isimlerini inceler.
Şimdi API/web kancalarını MitsuTheGoat ile değiştirmek için, kötü amaçlı yazılım BetterDiscord’u atlatıyor. Bundan sonra, hırsız, kurbanın virüslü sisteminden aşağıdakiler gibi tüm hassas verileri toplar:-
- Kullanıcı adları
- Şifreler
- Kurabiye
- Otomatik doldurma
- Kullanıcı profilleri
Kötü amaçlı yazılım ayrıca finansal bilgileri çalmak ve bunları finansal kazançlar için kötüye kullanmak için kripto para cüzdanlarını ve diğer cüzdanları da hedefler. Veri çıkarma için, kötü amaçlı yazılım tarafından aşağıdaki SQL sorguları kullanılır: –
- Çerezlerden ana bilgisayar_anahtarını, adını, şifreli_değeri SEÇ
- Girişlerden action_url, username_value, password_value SEÇ
Hedeflenen tarayıcılar
Aşağıda, hırsız tarafından kullanıcı verilerini çalmak için hedeflenen tüm web tarayıcılarından bahsettik:-
- Google Chrome
- Microsoft Kenarı
- Opera GX Kararlı
- Opera Ahırı
- Mozilla Firefox
Kötü amaçlı yazılım, Discord belirteçlerini toplamak için sistem genelinde çeşitli konumlardan aşağıdaki dosyaları okur ve çıkarır:-
Kötü amaçlı yazılım daha sonra çalınan verileri bir Discord web kancasına gönderen bir JSON dökümü oluşturur. Ardından hırsız, tehdit aktörlerinin istediği yasa dışı etkinliği gerçekleştirmek için index.js adlı bir JavaScript dosyası indirir.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Korsan araçlar veya yazılımlar indirmediğinizden emin olun.
- Şifreler güçlü olmalı
- Çok faktörlü kimlik doğrulama uygulanmalı
- Otomatik yazılım güncelleme özelliğini etkinleştirin
- Saygın bir antivirüs programı kullandığınızdan emin olun.
- E-postalarda güvenilmeyen bağlantıları veya ekleri açmayın
- DLP Çözümlerini Etkinleştir
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Ücretsiz E-kitap