PureCrypter, Redline Stealer, Eternity, AgentTesla, Philadelphia Ransomware ve Blackmoon dahil olmak üzere çok sayıda kötü amaçlı yazılım ve bilgi hırsızı sunar.
Menlo Labs’daki siber güvenlik araştırmacıları, Discord aracılığıyla yürütülen, kaçamak amaçlı bir kötü amaçlı yazılım kampanyasından yararlanan bilinmeyen bir tehdit aktörü keşfetti. Kampanyalarındaki başlıca kurbanlar, Kuzey Amerika ve Asya-Pasifik’teki hükümet kuruluşlarıdır.
Araştırmacılara göre, bu kampanyadaki saldırganlar PureCrypter indiricisini sağlıyor ve birincil hedefleri devlet kurumları. Tehdit aktörü, güvenliği ihlal edilmiş, kar amacı gütmeyen bir kuruluşun etki alanını ikinci bir yük sağlamak için C2 merkezi olarak kullanır.
Araştırmacılar, bu kampanyada PureCrypter’ın Redline Stealer, AgentTesla, Philadelphia Fidye Yazılımı ve Blackmoon dahil olmak üzere çok sayıda kötü amaçlı yazılım ve bilgi hırsızı türü sunduğunu fark etti.
Kampanya Nasıl Keşfedildi?
Araştırmacılar, Menlo’nun Bulut Güvenlik Platformunun Kuzey Amerika ve Asya-Pasifik bölgelerindeki çok sayıda devlet müşterisinde parola korumalı arşiv dosyalarını engellediğini tespit ettikten sonra şüphelenmeye başladıklarını yazdı.
Saldırılar, Discord’a kötü amaçlı bir bağlantı içeren bir kimlik avı e-postasıyla başlar. Bu URL, saldırganların C2 altyapısından ikincil bir yük indiren .NET kötü amaçlı yazılım indiricisi PureCrypter’ı içeren parola korumalı bir ZIP dosyası başlatır.
Örnek Menlo Labs, Pakistan’da bulunan bir FTP sunucusuyla bağlantı kurduktan sonra tarayıcı tabanlı parolaları çalabilen, ekran görüntüleri alabilen ve tuş vuruşlarını günlüğe kaydedebilen, yaygın olarak kullanılan bir RAT ve bilgi hırsızı olan indirilmiş AgentTesla’yı analiz etti.
Öte yandan, kötü amaçlı yazılım dağıtmak için OneNote kullanan başka bir kampanyada gözlemlenen kurban verileri bu sunucuda depolanıyor.
“FTP sunucusu ele geçirilmiş gibi görünüyor ve etki alanı için sızan kimlik bilgileri çevrimiçi olarak bulundu, bu da tehdit aktörlerinin sunucuya erişmek için bu kimlik bilgilerini kullandığını gösteriyor.”
Menlo Laboratuvarları
PureCrypter nedir?
PureCrypter, çok çeşitli fidye yazılımları, kötü amaçlı yazılımlar ve bilgi çalıcıları dağıtabilen bir kötü amaçlı yazılım indiricisidir. İlk olarak Haziran 2022’de tespit edildi. Yaratıcısı PureCoder, bunu ayda 59 ABD Doları veya ömür boyu tek seferlik 245 ABD Doları ödeme karşılığında sunuyor.
Geliştirici kısa bir süre önce özelliklerini, yılda yalnızca 99 ABD doları karşılığında kripto cüzdanlarından, web tarayıcılarından ve e-posta istemcilerinden veri çalabilen veya 99 ABD dolarına ömür boyu erişim sağlayan PureLogs günlükçü ve bilgi hırsızını içerecek şekilde genişletti.
ALAKALI HABERLER
- Telegram ve Discord Botları Kötü Amaçlı Yazılım Düşürüyor
- Google Ads Kötü Amaçlı Yazılımı Kripto Cüzdanını Siliyor
- Discord’da Kötü Amaçlı Yazılım Satan Genç “Hackerlar”
- Bilgisayar korsanları “Earth Bogle” saldırısında NjRAT’ı düşürdü
- Kötü amaçlı yazılım, verileri çalmak için Discord kullanıcılarını hedefliyor