Siber suçluları sömüren süresi dolmuş uyumsuzluk, çok aşamalı kötü amaçlı yazılımları dağıtmak için bağlantıları davet ediyor

   Haziran 12, 2025  Posted in GBHackers


Güvenlik araştırmacıları, Discord’un davet sisteminde az bilinen bir kusurdan yararlanan ve siber suçluların süresi dolmuş veya silinmiş davet bağlantılarını kaçırmasını ve şüphesiz kullanıcıları kötü amaçlı sunuculara yönlendirmesini sağlayan gelişmiş bir kötü amaçlı yazılım kampanyasını ortaya çıkardılar.

Check Point Research ile keşfedilen bu saldırı zinciri, özellikle kripto para birimi varlıklarını çalmaya odaklanarak güçlü kötü amaçlı yazılımlar sunmak için güvenilir bulut hizmetlerinden ve gelişmiş kaçırma tekniklerinden yararlanır.

Saldırganlar, forumlarda veya sosyal medyada meşru topluluklar tarafından sıklıkla paylaşılan ve bu kodları kendi kötü amaçlı sunucuları için özel makyaj bağlantıları olarak yeniden kaydettirir.

– Reklamcılık –
Google Haberleri

Kullanıcılar güvenli, daha önce güvenilir bir davet olduğuna inandıkları şeyi tıkladıklarında, saldırganlar tarafından kontrol edilen sahte bir Discord sunucusuna sorunsuz bir şekilde yönlendirilirler.

Katıldıktan sonra, kullanıcılar genellikle bir doğrulama adımını tamamlamalarını isteyen bir bot içeren bir “Doğrulama” kanalıyla karşılaşırlar.

Bu süreç, kurbanları Discord’un arayüzünü taklit eden bir kimlik avı web sitesine yönlendirir ve burada panolarına kopyalanan kötü niyetli bir PowerShell komutunu çalıştırmak için kandırılır.

“ClickFix” olarak bilinen bu sosyal mühendislik yöntemi, kullanıcıların doğrudan dosyaları indirmesini gerektirmeyen geleneksel kırmızı bayraklardan kaçınır.

Çok aşamalı enfeksiyon zinciri

PowerShell komut dosyası GitHub’dan birinci aşamalı bir yükleyici indirir ve bu da BitBucket’ten ek şifreli yükler alır. Bu yükler şunları içerir:

  • Asyncrat: Keylogging, dosya yönetimi ve uzak masaüstü erişimi de dahil olmak üzere, saldırganlara kurbanın sistemi üzerinde tam kontrol sağlayan açık kaynaklı bir uzaktan erişim Truva atı.
  • Hata Ayıklama çalıyor: Tarayıcı kimlik bilgilerini, uyumsuzluk jetonlarını ve en önemlisi, Çıkış ve Atomik gibi kripto para cüzdanlarını hedefleyen özelleştirilmiş bir info-stealer. Kötü amaçlı yazılım, cüzdan uygulamalarına kötü amaçlı kod enjekte eder, Discord Webhooks aracılığıyla tohum cümlelerini ve şifreleri söndürür.

Kampanya ayrıca Chrome’un uygulamaya bağlı şifrelemesini (ABE) atlamak için ChromeKatz tabanlı bir modül kullanıyor ve tarayıcı çerezlerini Chrome, Edge ve Cesur’un en son sürümlerinde bile bellekten çıkarıyor.

Tespitten kaçınmak için, kötü amaçlı yazılım birkaç gelişmiş kaçaklama tekniği kullanır:

  • Bulut Tabanlı Yük Teslimi: Tüm kötü amaçlı dosyalar GitHub, Bitbucket ve Pastebin gibi güvenilir platformlarda normal trafikle harmanlanır.
  • Zamana dayalı kaçırma: Yürütme, planlanan görevler kullanılarak ertelenir ve kötü niyetli davranışın yalnızca otomatik sanal alan analizi sona erdikten sonra ortaya çıkmasını sağlar.
  • Dinamik Altyapı: Saldırganlar sık ​​sık yük URL’lerini ve ikili dosyaları güncelleyerek düşük antivirüs algılama oranlarını ve yayından kaldırmaya karşı esnekliği korur.

Kalıcılık, kötü amaçlı yazılımları düzenli olarak yeniden indiren ve yürüten, kaldırmayı zorlaştıran ve saldırganlar tarafından sürekli uzaktan erişim sağlayan planlanmış görevler oluşturarak elde edilir.

Bitbucket’ten istatistikleri indirin, kampanyanın 1.300’den fazla potansiyel kurbana ulaştığını ve ABD, Avrupa ve Asya’da enfeksiyonlar gözlemlendiğini öne sürüyor.

Kripto para birimi cüzdanlarına ve tarayıcı kimlik bilgilerine odaklanma, finansal olarak motive olmuş tehdit aktörlerine işaret ediyor.

Discord, mevcut enfeksiyon zincirini bozarak kampanyaya dahil olan kötü niyetli doğrulama botunu devre dışı bıraktı.

Bununla birlikte, Invite Link yönetimindeki temel kusur kullanılabilir ve saldırganlar kullanıcıları hedeflemeye devam etmek için yöntemlerini kolayca uyarlayabilirler.

Hafifletme

  • Özellikle halka açık forumlarda veya sosyal medyada bulunan eski veya süresi dolmuş uyumsuzluk bağlantılarını tıklamaktan kaçının.
  • Yalnızca kaçırmaya daha dayanıklı olan büyük harflerle kalıcı davet bağlantıları kullanın.
  • Harici “doğrulama” adımları gerektiren veya bilgisayarınızda komutlar çalıştırmanızı isteyen herhangi bir Discord sunucusuna karşı dikkatli olun.
  • Güvenlik yazılımını güncel tutun ve kötü amaçlı yazılım için düzenli olarak tarayın.

Bu kampanya, güvenilir platformlarda bile uyanıklığın öneminin altını çiziyor ve patlayan kripto sektörünü hedefleyen siber suçluların gelişen taktiklerini vurguluyor

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link