Siber suçlular tarafından, popüler oyunların gerçekleştirilmiş versiyonları aracılığıyla kullanıcıları hedefleyen siber suçlular tarafından başlatıldı.
Tatil sezonunun yükseltilmiş torrent etkinliğinden yararlanan saldırganlar, Torrent Trackers aracılığıyla tehlikeye atılmış oyun montajcılarını dağıttı.
Bir ay süren kampanya, öncelikle XMRIG Cryptominer’ı Rusya, Brezilya, Almanya, Belarus ve Kazakistan’daki şüphesiz kullanıcılara teslim etti.
Popüler başlıklar Beamng.drive– Garry’s Mod– Dyson Küre ProgramıVe Evren Sandbox karmaşık bir enfeksiyon zinciri uygulamak için silahlandırıldı.
İnfaz zinciri
Saldırganlar tespitten kaçınmak ve kötü amaçlı yazılımların başarısını sağlamak için ileri yöntemler kullandılar.
Trojanize olan kurulumlar, meşru görünümlü oyun dosyalarına şifrelenmiş ve gizlenmiş kötü amaçlı yükleri yerleştirerek Inno kurulumu kullanılarak hazırlanmıştır.
Yürütme üzerine, yükleyici bu yükleri AES şifrelemesini kullanarak şifresini çözdü ve bunları sistemin geçici dizinlerine dağıttı.
Saldırının temel bir bileşeni, sanal alan ortamlarını veya hata ayıklama araçlarını tespit etmek için anti-tahm.
Güvenli listeye göre, bu tür araçlar bulunursa, kötü amaçlı yazılımlar hemen yürütülmesini sonlandırdı ve güvenlik araştırmacıları tarafından algılanmaktan kaçındı.
Bu kontrolleri geçtikten sonra, kötü amaçlı yazılım, Windows yardımcı programlarını kullanarak kendini kaydetti. regsvr32.exe ve makine tanımlayıcıları, kullanıcı adları, işletim sistemi detayları ve donanım özellikleri dahil olmak üzere sistem parmak izleri toplamaya başladı. T
Bilgileri Base64 formatında kodlandı ve saldırganların komut ve kontrol (C2) sunucularına iletildi.
Enfeksiyon zinciri, kurbanın CPU kaynaklarını kripto para madenciliği için kullanan bir madenci implantının konuşlandırılmasıyla devam etti.
Kötü amaçlı yazılım, daha az güçlü makinelerin aşırı yüklenmesini önlemek için davranışını sistem yapılandırmalarına göre dinamik olarak ayarladı.
Kullanıcılar üzerindeki küresel etki
Kampanya öncelikle bireysel oyuncuları hedef aldı, ancak kurumsal ağlara enfekte sistemler de.
Genellikle yüksek performanslı donanım ile donatılmış oyun bilgisayarlarına odaklanarak saldırganlar madencilik verimliliğini en üst düzeye çıkardı.
Mağdurlar, kaynak yoğun madencilik operasyonları nedeniyle artan elektrik faturaları ve bozulmuş sistem performansı bildirdiler.
Atıf ve sonuçlar
Bilinen tehdit gruplarına doğrudan bağlantı kurulmamış olsa da, kanıtlar Rusça konuşan aktörlerin bu operasyonun arkasında olabileceğini göstermektedir.
Kampanya, tehdit aktörlerinin kötü amaçlı yazılım dağıtımının vektörleri olarak popüler oyunlardan yararlandığı ortaya çıkan bir eğilimi vurgulamaktadır.
Bu taktik, kullanıcıların bilinen başlıklara olan güveninden ve resmi olmayan kaynaklardan çatlak veya yeniden paketlenmiş sürümleri indirme istekliliğinden yararlanır.
Olay, oyuncular arasında siber güvenlik farkındalığının öneminin altını çiziyor.
Yetkisiz platformlardan oyun indirmek, resmi uygulama mağazaları bile kötü amaçlı yazılım sızmasına karşı bağışık olmadığından önemli riskler oluşturmaktadır.
Geliştiriciler ve platform sağlayıcıları, kullanıcıları bu tür tehditlere karşı korumak için sağlam güvenlik önlemleri almalıdır.
Bu kampanya, siber suçlular tarafından şüphesiz kullanıcıları kullanmak için kullanılan gelişen taktiklerin kesin bir hatırlatıcısı olarak hizmet vermektedir.
Popüler oyunları silahlandırarak, geleneksel güvenlik önlemlerini atlama ve kötü niyetli yükler etkili bir şekilde sunma yeteneklerini gösterdiler.
Oyuncular, bu tür saldırılarla ilişkili riskleri azaltmak için indirmeler için meşru kaynaklara güvenmeye ve güncel güvenlik çözümlerini sürdürmeleri istenir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free