Oyunlarınızı güvenilir kaynaklardan indirin, aksi takdirde beklediğinizden daha fazlasını elde edebilirsiniz…
Araştırmacılar, Super Mario Games gibi popüler oyun kurucularının kötü amaçlı yazılım dağıtmak için nasıl kullanıldığını bildirdi. Kötü amaçlı bileşenler arasında kripto madencileri, SupremeBot madencilik istemcisi ve açık kaynaklı Umbral hırsızı bulunur.
Oyun yükleyicilerinin rotası, siber suçlulara bazı çok belirgin avantajlar sunar:
- Oyunlar çok popüler ve indirmeler çok rağbet görüyor, bu da insanların onları indirme şansını artırıyor.
- Oyun yükleyicileri büyük dosyalardır, yani çoğu çevrimiçi kötü amaçlı yazılım tarayıcısına yüklenemezler.
- Oyun kurulumu sona erer, bu nedenle kullanıcı yükleyicinin söz verdiği şeyi yaptığına güvenir ve ekstralar dikkate alınmaz
- Hedeflenen sistemler oyun oynamaya uygun yüksek performanslı makinelerdir. Bu, amaçlanan madencilik faaliyetinde yararlı olmalarının beklenebileceği anlamına gelir.
Araştırmacılar, bir NSIS yükleyicisi olarak gelen bir Super Mario oyun yükleyicisinin truva atı haline getirilmiş bir sürümünü incelediler. NSIS (Nullsoft Scriptable Install System), Windows yükleyicileri oluşturmak için profesyonel bir açık kaynak sistemidir. Bu durumda, biri meşru Super Mario Forever oyunu olan üç yürütülebilir dosyayı birleştirmek için kullanıldı.
Ancak kurban oyunu için kurulum sihirbazının adımlarını atarken, arka planda aynı yükleyici tarafından gizlice bırakılan iki dosya yürütülür.
- Siber suçlular için yetkilendirme olmadan ve sistem kaynaklarını zararlı olabilecek miktarlarda kullanırken kripto para madenciliği yapmak için arka planda gizlice çalışan bir XMR (Monero) madencisi
- Bir Command & Control (C2) sunucusundan bir dosya da indiren bir madencilik istemcisi olan SupremeBot. Bu durumda, Umbral Stealer olarak tanımlanan bir bilgi hırsızı
SupremeBot kötü amaçlı yazılımı, radarın altında kalmak için bazı teknikler kullanır. Önce kendisinin Super-Mario-Bros.exe adlı bir kopyasını oluşturur ve bunu ProgramData klasörünün rasgele adlandırılmış bir alt klasörüne bırakır. Ayrıca, bu kopyayı çalıştırmak için her 15 dakikada bir çalışan yeni bir zamanlanmış görev oluşturur. Bu kalıcılık ayarlandığında, işlemi öldürür ve orijinal dosyayı siler.
Yeni kopya, istemcinin kayıtlı olup olmadığını doğrulamak için kurban sistemin CPU ve GPU sürümlerini tanımlayıcı olarak bir C2 sunucusuna gönderir. Değilse, yeni istemci eklenir ve C2 sunucusundan XMRig CPU ve GPU madenciliği yapılandırma ayrıntılarını alır.
Tüm bunlar ayarlandığında, Themida paketli bir dosya indirir. Yürütüldüğünde, bu dosya kendi paketini açar ve Umbral Stealer’ı işlem belleğine yükler. Umbral Stealer, GitHub’da açık kaynaklı bir proje olarak bulunan Windows tabanlı bir bilgi hırsızıdır. Toplanan verileri siber suçluya göndermek için Discord web kancalarını kullanır.
Toplanan veriler etkilenen sistemden şu şekilde alınır:
- Ekran görüntüleri yakalama
- Tarayıcı şifrelerini ve tanımlama bilgilerini alma
- Web kamerası görüntülerini yakalama
- Telegram oturum dosyalarının ve anlaşmazlık jetonlarının alınması
- Roblox çerezlerini ve Minecraft oturum dosyalarını edinme
- Kripto para cüzdanlarıyla ilişkili dosyaları toplama
Tavsiye
Kurbana düşmeyi önlemek için işte bazı yönergeler:
- Yalnızca güvenilir kaynaklardan indirin
- Yüksek CPU kullanımı ve diğer performans sorunları için sisteminizi izleyin
- Güncellenmiş ve gerçek zamanlı bir kötü amaçlı yazılımdan koruma kullanın
C2 sunucuları:
sessiz lejyon[.]ördekler[.]org
gölge lejyonu[.]ördekler[.]org
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden bulaşmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE