Seqrite Labs’ın ayrıntılı bir raporuna göre, 15 Nisan’da vergi günü olarak, ABD vatandaşlarını hedefleyen endişe verici bir siber güvenlik tehdidi ortaya çıktı.
Güvenlik araştırmacıları, öncelikle kimlik avı saldırıları olmak üzere sofistike sosyal mühendislik taktikleri aracılığıyla vergi sezonundan yararlanan kötü niyetli bir kampanyayı ortaya çıkardılar.
Bu siber suçlular, tehlikeli kötü amaçlı yazılım dağıtırken hassas kişisel ve finansal bilgileri çalmak için aldatıcı e -postalar ve kötü amaçlı ekler kullanıyor.
.png
)
Kampanya, kullanıcıları meşru vergi belgeleri olarak gizlenmiş zararlı yükleri yürütme konusunda kandırmak için “104842599782-4.pdf.lnk” gibi yeniden yönlendirme tekniklerini ve kötü niyetli LNK dosyalarını kullanıyor.
Bu strateji, özellikle yeşil kart sahipleri, küçük işletme sahipleri ve devlet vergi süreçlerine aşina olmayabilecek yeni vergi mükellefleri gibi savunmasız demografik özellikler arasında kullanıcı güvenini avlar.
Stealerium kötü amaçlı yazılım ve çok aşamalı enfeksiyon zinciri
Enfeksiyon zinciri, açıldıktan sonra bir dizi gizlenmiş yük gerçekleştiren aldatıcı ekler içeren kimlik avı e -postaları ile başlar.
Seqrite Labs’ın teknik analizi, bu eklerin, saldırgan kontrollü komut ve kontrol (C2) sunucularından “rev_pf2_yas.txt” ve “revolaomt.rar” gibi ek kötü amaçlı dosyaları indiren Base64 kodlu PowerShell komutlarını gömdüğünü ortaya koymaktadır.
Genellikle “setup.exe” veya “revolaomt.exe” olarak adlandırılan son yük, çalışma zamanında şifresini çözen şifreli veriler içeren pyinstaller paketlenmiş bir Python yürütülebilir dosyadır.
Bu, tarayıcılardan, kripto para cüzdanlarından ve Discord, Steam ve Telegram gibi uygulamalardan hassas verileri hasat etmek için kötü şöhretli.
Stealerium ayrıca kapsamlı sistem keşifleri, Wi-Fi konfigürasyonlarını yakalama, web kamerası ekran görüntüleri ve hatta ek yakalamaları tetiklemek için yetişkin içeriğini tespit eder.
Sandbox kaçırma ve muteks kontrolleri dahil olmak üzere anti-analiz özellikleri, tespit edilmeyi ve hafifletmeyi özellikle zorlaştırır.
Kötü amaçlı yazılım, C2 sunucularına HTTP Post istekleri aracılığıyla botları, web hizmetleri üzerinden veri eksfiltrasyonunu kolaylaştıran “hxxp: //91.211.249.142: 7816” gibi kayıtlar.
Kimlik bilgisi hırsızlığının ötesinde, Stealerium oyun platformlarını, VPN kimlik bilgilerini ve Messenger uygulamalarını hedefler, FileZilla, NordvPN ve Outlook gibi araçlardan veri çıkarır.
Kalıcılık için % localAppdata % ‘lık gizli dizinler oluşturur ve çalınan verileri güvence altına almak için AES-256 şifrelemesini kullanır.
Seqrite Labs, bu gelişen tehditle mücadele etmek için gelişmiş uç nokta koruma çözümleri önererek derhal dikkat gösteriyor.
Vergi sezonunda şüpheli e -postalara ve eklere karşı uyanık kalmak, kimlik hırsızlığı ve finansal kayıplardan kaçınmak için kritik öneme sahiptir.
Uzlaşma Göstergeleri (IOCS)
| Dosya adı | Sha-256 |
|---|---|
| Setup.exe/revolaomt.exe | 6A9889Fee93128A9CDCB93D35A2FEC9C6127905D14C0TAR14F5F1C4F58542B8 |
| 104842599782-4.pdf.lnk | 48328ce3a4b2c2413acb8a4d1f8c3b7238db826f313a25173AD5AD34632d9d7 |
| layoad_1.ps1 / fgrsdt_rev_hx4_ln_x.txt | 10F217C72F62AED40957C438B865F0BCEBC7E42A5E947051EDEE1649ADF0CBF2 |
| Revolomt.rar | 31705d906058e7324027e65ce7f4f7a30bcf6c30571aa3f020e91678a22a835a |
| 104842599782-4.html | FF5E3E3BFF67D292C73491FAB0D945333312935B4A913546CA4A4A416BA8CA1 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!