Siber suçlular Sahte Mavi Ölüm Ekranı (BSOD) Mesajı Kullanıyor


Ölümün Sahte Mavi Ekranı

Cyble Research and Intelligence Labs kısa bir süre önce, şüphelenmeyen kullanıcıları kandırarak ziyaret etmeleri için tasarlanmış, sahte bir yetişkin web sitesini ortaya çıkardı. Bir kullanıcı bu yetişkin sitesini ziyaret ettiğinde, cihazlarına otomatik olarak zararlı bir yürütülebilir dosya indirilerek gizlilik ve güvenlikleri riske atılır.

Söz konusu kötü amaçlı yürütülebilir dosya, zararsız bir video dosyası gibi görünmesi için zekice gizlenmiştir. Bu, multimedya içeriğini oynatmak için yaygın olarak tanınan ve güvenilir bir program olan popüler VLC medya oynatıcısının simgesi kullanılarak yapıldı.

Ancak daha yakından incelendiğinde, dosyanın meşru bir video olmadığı, aksine tehlikeli bir program olduğu ortaya çıkıyor. Zararlı yürütülebilir dosya çalıştırıldığında, kurbanın bilgisayar ekranı bazı değişikliklere uğrar.

İlk olarak, imleç kaybolacak ve kullanıcının cihazında gezinmesini ve cihazla etkileşim kurmasını zorlaştıracaktır. Ek olarak, sistemden meşru bir bildirim gibi görünmek üzere tasarlanmış sahte bir açılır pencere görünecektir.

DÖRT

Açılır pencere, arka planla karışarak algılanmasını zorlaştıracak ve muhtemelen yanlış bilgi veya talimatlar içerecektir.

Kurbanın cihazında görünen aldatıcı açılır pencere, birçok Windows kullanıcısının aşina olduğu yaygın bir hata ekranını taklit edecek şekilde tasarlanmıştır:-

BSOD Hile Kurbanlarına Mesajlar

Bu hata ekranı, Windows tabanlı bilgisayarlarda, bilgisayarın çökmesine neden olan bir sistem hatası oluştuğunda ve hata mesajıyla birlikte mavi bir ekran görüntülendiğinde görüntülenir.

Vicdansız teknoloji dolandırıcılarının, şüphelenmeyen bilgisayar kullanıcılarını aldatmak ve istismar etmek için sahte BSOD ekranlarını içeren sinsi bir taktik kullandıkları bilinmektedir.

Bu dolandırıcılar, sahte bir BSOD ekranı görüntüleyerek, kullanıcıyı cihazlarına virüs veya kötü amaçlı yazılım bulaştığına inandıracak ve ardından bir ücret karşılığında bir çözüm sunmayı teklif edecek.

Gerçekte, bu dolandırıcıların herhangi bir sorunu çözme niyeti yoktur ve bunun yerine kurbanlarından dürüst olmayan yollarla para almaya çalışırlar.

Sahte BSOD ekranı görüntülendiğinde, kullanıcıya teknik destek için belirli bir telefon numarasıyla iletişime geçmesini şiddetle tavsiye eden bir mesaj sunulur.

Onu arayanlar, ilk etapta sahte BSOD ekranını yaratan dolandırıcılarla bağlantı kuracak ve ardından kurbanı istenmeyen destek veya hizmet için gereksiz bir ücret ödemeye ikna edecekler.

Cyble Research and Intelligence Labs tarafından yakın zamanda yapılan bir keşif, kimlik avı faaliyetlerinde bulunan sahtekar bir web sitesini ortaya çıkardı.

hxxps adresinden erişilebilen bu web sitesi[:]//mydoc.hsc-lb[.]net/’in, onu bilmeden indiren kullanıcılar için önemli bir risk teşkil eden yürütülebilir bir teknoloji spam’ı yaydığı tespit edildi.

Web sitesini ziyaret etmek, tehlikeli bir yürütülebilir dosyanın indirilmesini otomatik olarak başlattığı tespit edildiğinden, kullanıcılar için ciddi bir tehdit oluşturmaktadır.

Bu, kullanıcıyı hxxps adresine gönderen bir yeniden yönlendirme işlemi aracılığıyla elde edilir.[:]//mydoc.hsc-lb[.]net/milf-pornvideo-pornhubhdviideos[.]onların bilgisi olmadan exe.

Dolandırıcılar, hain faaliyetlerini gerçekleştirmek için genellikle birçok popüler web tarayıcısında bulunan otomatik indirme özelliğinden yararlanır.

Söz konusu web sitesinden indirilen yürütülebilir dosya, Windows işletim sistemi kullanıcılarını hedeflemek için özel olarak tasarlanmış 32 bitlik bir .NET ikili dosyasıdır.

32-bit .NET ikili dosyası yürütüldükten sonra, varsayılan adı “Form1” olan yeni bir Windows Formunun oluşturulmasını başlatır. Şimdi, kaynak dizininden, bu formun arka plan görüntüsü aşağıdaki yöntemin yardımıyla alınır: –

  • Kaynaklar[.]ResourceManager.GetObject

İlk eylemlerinin ardından dolandırıcılar, “Screen.PrimaryScreen.Bounds” özelliğini kullanmayı içeren özel bir kodlama tekniği kullanır. Bu yöntemi uygulayarak, ekranın tamamını sahte bir Mavi Ekran Ölüm (BSOD) görüntüsü ile doldurabilirler.

Bu aşamada ikili, bir SoundPlayer nesnesini başlatarak işleyişinde çok önemli bir adım atar. Bu nesneye “soundPlayer” tanımlayıcısı atanır ve “backgroundmusic” adlı belirli bir ses dosyasına bağlanır.

Ses dosyasının kendisi yürütülebilir dosyanın kaynaklar dizininde saklanır. Sesli mesaj oynatıldığında, kullanıcıya bilgisayarının şüpheli etkinlik veya virüs bulaşması nedeniyle kilitlendiğini bildirir.

Mesaj, kullanıcıya belirlenmiş bir destek numarasını arayarak derhal harekete geçmesini şiddetle tavsiye eder. Dolandırıcılar, şüphelenmeyen kullanıcıları kandırmak için çok çeşitli taktikler kullanır.

Bu taktikler arasında, kullanıcıları cihazlarında kritik bir sorun yaşadıklarına inandırmak için tasarlanmış sahte pop-up’ların veya bildirimlerin kullanılması yer alır.

öneriler

Aşağıda, güvenlik uzmanları tarafından sunulan tüm önerileri sağladık: –

  • Şüpheli görünen bağlantılara tıklamayın.
  • Bilinmeyen kaynaklardan dosya indirmediğinizden emin olun.
  • İndirmeler, tarayıcı ayarlarınızda onay için sorulmalı veya tamamen engellenmelidir.
  • İstenmeyen mesajlar veya aramalar yoluyla sunulan teknik destek veya hizmetlerden kaçınılmalıdır.
  • Virüsten koruma yazılımının sistemde güncel olduğundan emin olun.
  • İşletim sisteminizin ve yazılımınızın düzenli olarak güncellendiğinden emin olun.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link