Pakistan’dan faaliyet gösteren sofistike bir siber suç ağı, 2021’den beri 300’den fazla çatlak web sitesi inşa etti ve korsan yazılım arayan kullanıcıları hedefleyen bilgi çalma kötü amaçlı yazılım için dağıtım platformu olarak hizmet verdi.
Bu kapsamlı operasyon, görünüşte meşru yazılım çatlama portalları aracılığıyla koordine edilmiş en büyük koordineli kötü amaçlı yazılım dağılımı vakalarından birini temsil eder ve küresel olarak kimlik bilgisi hırsızlığına kurban olan kurumsal ve bireysel kullanıcıları etkilemektedir.
Kötü niyetli altyapı, stealer kötü amaçlı yazılım sunmak için ücretsiz yazılımın evrensel cazibesinden yararlanır ve kullanıcıların ödemeden premium uygulamalara erişme arzusunu kullanır.
.png
)
Mağdurlar genellikle popüler yazılımın çatlak sürümlerini ararken bu web siteleriyle karşılaşır ve yanlışlıkla meşru aktivasyon araçları veya yazılım yükleyicileri olarak gizlenmiş kötü niyetli yürütülebilir ürünleri indirir.
Yürütüldükten sonra, bu yükler, çalınan bilgileri komut ve kontrol sunucularına iletmeden önce tarayıcı kimlik bilgilerini, kripto para birimi cüzdanlarını ve hassas kimlik doğrulama verilerini hasat eder.
Kampanyanın sofistike yaklaşımı, görünürlüğü ve mağdur katılımını en üst düzeye çıkarmak için arama motoru optimizasyon tekniklerini ve Google reklamlarını dahil ederek basit kötü amaçlı yazılım barındırmanın ötesine uzanıyor.
Bu çok yönlü strateji, kötü niyetli alanlara tutarlı trafik akışı sağlar ve gerçek yazılım kaynaklarına eriştiğine inanan istikrarlı bir potansiyel kurban akışı oluşturur.
Intrinsec analistleri, enfeksiyon kaynaklarını kmspico.io ve ilgili altyapı gibi alanlara geri izleyerek, müşteri uzlaşma olaylarının adli analizi yoluyla operasyonu tespit ettiler.
Soruşturmada, birçoğu başlangıçta müşterilerinin kötü niyetli niyetlerinden habersiz olabilecek web geliştirme ve dijital reklamcılık konusunda uzmanlaşmış koordineli bir Pakistan serbest çalışan ağı olduğunu ortaya koydu.
Bu geliştiriciler, farklı coğrafi bölgelerde ve işletim sistemlerinde başarılı kötü amaçlı yazılım kurulumlarına dayanan komisyonlar kazanarak, kötü şöhretli CryptBot operasyonunu anımsatan bir install ödeme iş modeli kullandılar.
DNS Altyapı ve Dağıtım Mekanizmaları
Bu operasyonun teknik temeli, kötü amaçlı alanların çoğunluğu için birincil adlayıcı olarak ns1.filescrack.com kullanılarak merkezi bir DNS altyapısına odaklanmaktadır.
Bu NameServer, Eylül 2024 itibariyle 300’den fazla çatlak web sitesi ile ilişkilendirilmiştir ve alan adlı kayıt kalıpları Haziran 2021’den bu yana sistematik genişlemeyi göstermektedir.
NameServer yapılandırması, operatörlerin çok sayıda alan adına riski dağıtırken merkezi kontrolü korumasına olanak tanır.
Barındırma altyapısı öncelikle Lahor’dan AS57717 AS57717’yi işleten bir Pakistan sağlayıcısı olan 24xService kullanıyor.
IP aralığının analizi 185.216.143.0/24, web sitelerini kırmak için yakınlara yakın kullanımı ortaya koymakta ve bu da özel altyapı veya tehlikeye atılmış barındırma hizmetlerini önermektedir.
.webp)
Etki alanı kayıt kayıtları, Pakistanlı serbest çalışanların gerçek kimliklerine bağlanan e -posta adresleri içerir ve ağ içindeki belirli bireylere atfedilmeyi sağlayan operasyonel güvenlik arızalarını gösterir.
Kötü amaçlı yazılım dağıtım mekanizması, kurban coğrafyasına ve işletim sistemine dayalı olarak başarılı enfeksiyonlardan para kazanan bir install ödeme hizmeti olan InstallPP aracılığıyla çalışır.
Bu hizmet entegrasyonu, operasyonun profesyonelleştirilmiş doğasını göstermektedir ve açık finansal teşvikler, dağıtım tekniklerinin genişlemesini ve iyileştirilmesini artırır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi