Siber güvenlik araştırmacıları, Elektronik Sınır Vakfı’nın (EFF) kimliğine bürünerek Albion çevrimiçi oyun topluluğunu hedefleyen sofistike bir kampanya ortaya çıkardılar.
Mart 2025’in başlarında keşfedilen operasyon, arka planda kötü amaçlı yazılım dağıtırken resmi EFF iletişimi olarak görünecek şekilde tasarlanmış belgeleri kullanıyor.
Oyuncu odaklı bir ekonomiye sahip çok oyunculu bir çevrimiçi rol yapma oyunu olan Albion Online, oyun içi varlıkların gerçek para için değiştirildiği üçüncü taraf pazarlar nedeniyle kazançlı bir hedef haline geldi.
Hunt.io’daki araştırmacılar, oyunun oyuncularını hesaplarına bağlı oyun içi varlıklar için güvenliği tartışma bahanesiyle kimlik avı web sitelerine yönlendiren mesajları tanımladılar.
Saldırganlar, operasyonel altyapılarını ortaya çıkaran PDF’ler, zip arşivleri ve PowerShell komut dosyalarının bir karışımını içeren açık bir açık dizin kullandılar.
Saldırının temel bir bileşeni, kötü amaçlı komut dosyalarını çalıştırmak için bir yürütme ilkesi bypass ile PowerShell’i yürüten “Report-albion-online.lnk” adlı bir Windows kısayolu (LNK) dosyasıdır.
Saldırı zinciri, kullanıcılar “Albion’da Online’da Sanal Varlık Hırsızlığı Araştırması Konuşması Hakkında Elektronik Rapor” başlıklı resmi EFF raporu gibi görünen bağlantılarla kimlik avı mesajları aldığında başlar.
.webp)
Bu PDF programlı olarak oluşturuldu ve yetkisiz giriş girişimleri kurbanlarını bilgilendirerek aciliyet yaratmak için tasarlandı.
Kötü amaçlı yazılım analizi
Yürütme üzerine, PowerShell betiği kötü niyetli bileşenleri alır ve onları kurbanın sistemine bırakır.
Senaryo, Rusça konuşan geliştiricilerin katılımını öneren Rusça yorumları içeriyor.
Bunun yanı sıra, kritik kötü amaçlı yazılım bileşenlerinden biri olan albion.exe, 12.py adlı eşlik eden bir komut dosyasını yürütmek için kullanılan Meşru Python 3.10.8 yürütülebilir.
Bu python betiği, kod çözüldüğünde, sırasıyla STEALC Stealer ve Piramit C2 altyapısı olarak tanımlanan 104.245.240.19:443 ve 212.87.222.84:443 numaralı telefondan komuta ve kontrol sunucularına bağlantıları ortaya çıkaran iki kodlanmış kısım içerir.
Bu sunucularla iletişim şu şekilde HTTP istekleri ile gerçekleşir:-
http[:]//104.245.240.19:443/login/3keXipGb5Rr+gpGO9Cj sSfdz+of5Kötü amaçlı yazılım daha sonra, C2 sunucusuna geri göndermeden önce tarayıcılardan depolanan kimlik bilgilerini çıkarmak için birden fazla yayın isteği başlatır.
.webp)
Bu kampanya, tehdit aktörlerinin meşru kuruluşların itibarlarını belirli toplulukları hedeflemek için teknik sofistike ile nasıl birleştirdiğini göstermektedir.
Kullanıcılara iletişimin gerçekliğini doğrulamaları ve istenmeyen mesajlarla, özellikle de acil işlem talep edenlerle dikkatli olmaları tavsiye edilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free