Tehdit aktörleri, ünlü rapçi Sean “Diddy” Combs’u çevreleyen güncel bir skandala ilişkin kamuoyunun ilgisini kullanarak, X sosyal medya platformundan Combs ile ilgili silinen gönderilerin ayrıntılarını ifşa etme vaadinde bulunan dosyalar aracılığıyla casus yazılım yayıyor.
Araştırmacılar, açık kaynaklı PySilon RAT’ın bir versiyonunu keşfettiler. uzaktan erişim Truva atı VirusTotal’a gönderilen ve çevrimiçi olarak yayınlanan dosyalarda gizlenen “PdiddySploit” adlı bir virüs, Veriti Research’ten analiz 24 Eylül’de yayınlandı.
Veriti’nin yazısına göre PySilon RAT, hassas bilgileri çalabilen, tuş vuruşlarını kaydedebilen, ekran hareketlerini yakalayabilen ve uzaktan komutlar çalıştırabilen, “kişisel ve kurumsal güvenliğe ciddi tehditler” oluşturan gelişmiş bir Python tabanlı kötü amaçlı yazılımdır.
1990’lardan beri kamuoyunun gözü önünde olan rapçi, plak yapımcısı ve girişimci Combs (diğer adıyla P. Diddy), New York’ta birden fazla cinsel saldırı ve uygunsuz davranış suçlamasıyla karşı karşıya ve bu da onu son zamanlarda medyanın ilgi odağı haline getirdi. Veriti’ye göre, kamuoyunun yoğun ilgi gösterdiği bir alan, Combs ile ilgili tartışmalı paylaşımlar ve Usher ve Pink gibi ünlüler ve müzisyenlerin X’te iddia edilen yasadışı faaliyetleri ve Combs’un kendisi, Veriti’ye göre silindi.
Paylaşımda, “Bu eğilimin en endişe verici yönlerinden biri, Combs’un sosyal medya faaliyetlerine ilişkin dosyaların, özellikle de X.com’dan kullanılmasıdır” denildi.
Araştırmacılar özellikle, Combs’un artık silinmiş olan VirusTotal hesabından gönderiler ve yanıtlar içeren dosyaları ortaya çıkardılar. Bu dosyalar, @lamps_apple adlı bir kullanıcı tarafından yüklenmişti. Veriti’ye göre “Bu dosyalar, ‘gönderileri ve yanıtları toplama’ işleminin otomatik bir parçası ancak kötü amaçlı yüklerle kolayca silahlandırılabildikleri için yüksek risk taşıyorlar.”
Güncel Olaylardan Yararlanmak
Bu etkinlik, saldırganların kamuoyunun ilgisini çeken güncel olaylardan veya medya hikayelerinden faydalanarak içerikleri silahlandırarak kötü amaçlı yazılım yayma konusunda ne kadar hızlı olduklarını göstermektedir. Bu etkinliğin açık bir örneği şu şekildeydi: COVID-19 salgınıçok sayıda kimlik avı ve diğer kötü amaçlı kampanyalar, virüse ve sağlıkla ilgili diğer konulara yönelik kamuoyunun ilgisini artırmak için kullanıldığında kötü amaçlı yazılım yaymak.
Veriti’ye göre, “P. Diddy ve diğer kamu figürleri etrafındaki yoğun medya kapsamı göz önüne alındığında, saldırganlar bu dosyaları meraklı kullanıcıları indirmeye ikna etmek için kullanıyor ve sonunda kötü amaçlı yazılımlarla enfekte oluyorlar.” “P. Diddy ve diğerlerinin sosyal medya içeriklerini silmiş olması, kullanıcıları silinenleri görmek için bu dosyaları açmaya teşvik ederek ek bir merak katmanı ekliyor.”
2022’de keşfedilen PsySilon RAT’ın da son zamanlarda birden fazla tehdit aktörü tarafından kullanımında artış görüldü; Haziran 2023’ten bu yana VirusTotal’da 300’den fazla örnek bildirildi. Cyble Araştırma ve İstihbarat Laboratuvarları’na (CRIL) göreVeriti’ye göre saldırganlar kötü amaçlı yazılımı sistemlere sızmak, bilgi çalmak ve hatta cihazları uzaktan kontrol etmek için kullanıyor.
Cyble’a göre PsySilon RAT şu anda 3.6 sürümünde ve muhtemelen kimlik avı siteleri, ücretsiz yazılım indirme siteleri ve benzeri yerlerden kaynaklanan yazılımları, araçları ve crack’leri taklit eden çok sayıda örnekte tespit edildi.
Veriti’ye göre, PdiddySploit’in ardında gizlenen RAT’ın keşfi göz önüne alındığında, ilgili skandalın dikkat çekmeye devam etmesiyle birlikte daha fazla saldırganın “kamu yararını istismar etmek için bu kötü amaçlı yazılımı kullanması” muhtemel.
Merakın Güvenli Yargıyı Bulandırmasına İzin Vermeyin
Araştırmacılar, insanların trend olan konulara ve ünlü skandallarına ilgi duymasının tamamen doğal olduğunu belirtti. Ancak bu, insanların çevrimiçi olarak ilgili dosyalarla veya içeriklerle etkileşim kurarken dikkatli olmaları gerektiği anlamına gelmiyor.
Veriti araştırmacıları, “Merak tehlikeli olabilir” uyarısında bulundu, özellikle de saldırganların sosyal mühendislik konusunda oldukça bilgili oldukları ve “her zaman insan doğasını istismar etmenin yollarını aradıkları” göz önüne alındığında.
Bu ve kamuoyunun ilgisini çeken diğer haberlerden faydalanmayı amaçlayan saldırganların kurbanı olmamak için Veriti, insanların şüpheli dosyaları indirmekten kaçınmalarını, özellikle de silinmiş gönderiler veya bir ünlü skandalıyla ilgili özel içerikler içerdiğini iddia eden dosyalarla karşılaştıklarında bunu yapmamalarını tavsiye etti. Araştırmacılar, internetten bir şey indirmeden önce bu veya herhangi bir dosyanın kaynağını her zaman doğrulamaları gerektiğini belirtti.
İnsanlar ayrıca e-posta eklerine karşı da dikkatli olmalı çünkü kimlik avı e-postaları saldırganların kötü amaçlı yazılım yaymasının birincil yolu olmaya devam ediyor. Veriti’ye göre, “P. Diddy skandalıyla ilgili ekleri olan bir e-posta alırsanız, açmadan önce iki kere düşünün.” Güncel antivirüs yazılımları ve e-posta hesaplarını güvence altına almak için diğer korumaları kullanmak, kötü amaçlı yazılımları veya kötü amaçlı dosyaları, birisinin gelen kutusuna ulaşmadan önce etkili bir şekilde silebilir.