Titreşim virüsü kişisel bilgilerinizi çalıyor

   Şubat 21, 2024  Posted in MalwareBytes


Bazılarınızın diş fırçası botnetiyle ilgili buna benzer bir yazı beklediğini biliyorum ama bu varsayımsal bir durum değil. Aslında oldu.

Bir Malwarebytes Premium müşterisi, Reddit’te, cihazı şarj etmek için bir USB bağlantı noktasına bir vibratör bağladıktan sonra kötü amaçlı yazılımların bilgisayarlarına bulaşmaya çalışmasını engellediğimizi söyleyen bir konu başlattı.

Spencer’ın Sexology Pussy Power 8 Fonksiyonlu Şarj Edilebilir Kurşun Vibratörü olan vibratöre, Lumma olarak bilinen bir bilgi hırsızı bulaştı.

Lumma, siber suçluların kötü amaçlı yazılımlara ve bununla ilgili altyapıya erişim için diğer siber suçlulara ödeme yaptığı Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modeli aracılığıyla sunulmaktadır. Lumma, kripto para cüzdanlarından ve tarayıcı uzantılarından bilgilerin yanı sıra iki faktörlü kimlik doğrulama ayrıntılarını da çalıyor. Lumma genellikle e-posta kampanyaları yoluyla dağıtılıyor, ancak hiçbir şey siber suçluların bunu burada olduğu gibi virüslü USB sürücüler aracılığıyla yaymasını engellemiyor.

Geriye kalan soru şu; vibratöre nasıl bulaştı? Kurban vibratörü Spencer’dan satın aldı, biz de bu konunun kökenine inmek amacıyla şirketle iletişime geçtik.

Spencer sorunun farkında olduğunu kabul etti ancak konuyu araştıran ekip şu aşamada daha fazla bilgi sağlayamadı. Onlardan haber alırsak veya kendimiz daha fazla bilgi öğrenirsek sizi güncel tutacağız.

Şarj edilebilir vibratörler de dahil olmak üzere USB cihazlarıyla ilgili tavsiyemiz:

  • USB’yi şarj etmek için bilgisayarınıza bağlamayın. Eski moda bir AC priz kullanıyorsanız şarj sırasında hiçbir veri aktarımı gerçekleşemez.
  • Hala USB üzerinden bağlanma seçeneğini istiyorsanız, USB prezervatifleri veya bazen adlandırıldığı şekliyle “meyve suyu jakı savunucuları”, cihazınız bir USB kablosuyla başka bir cihaza bağlandığında yanlışlıkla veri alışverişini önleyecektir.
  • Güvenilmeyen cihazlara, otoparktaki “kayıp USB çubuğuna” davrandığınız gibi davranın. Bunları bilgisayarınıza bağlamamanız gerektiğini biliyorsunuz, değil mi?
  • Her zaman güvenlik yazılımı kullanın. Bu durumda müşteri Malwarebytes Premium tarafından korunuyordu. Güvenlik yazılımı kullanmasalardı kişisel bilgileri siber suçluların eline geçebilirdi.

Teknik detaylar

Müşteri bize flash sürücünün içeriğini sağlama nezaketinde bulundu. Üzerinde bir dizi XML dosyası ve bir Microsoft Yazılım Yükleyici dosyası vardı (Mia_Khalifa 18+.msi).

Yüzlerce XML dosyasından birinin içeriği

Yüzlerce XML dosyasından birinin içeriği
Yüzlerce XML dosyasından birinin içeriği

XML dosyalarının tümü yukarıdakine çok benzer ve bir XML bombası işlevi görecek şekilde tasarlanmış gibi görünüyor. XML bombası, web uygulamasını çökertmek için tasarlanmış, ZIP bombasına benzer, üstel bir varlık genişletme saldırısıdır. Bu muhtemelen kurbanın dikkatini gerçek kötü amaçlı yazılımdan uzaklaştırmak için kullanılıyor.

Yükleyici Outweep Dynes adlı bir program girişi oluşturur.

Yüklü Programlar listesinde Outweep Dynes girişi

Yüklü Programlar listesinde Outweep Dynes girişi
Yüklü Programlar listesinde Outweep Dynes girişi

Outweep Dynes “programı”, eklenen başka bir yükleyicidir %USERPROFILE%\AppData\Local\Outweep Dynes\InstallerPlus_v3e.5m.exe

Tersine mühendisliği engellemek için yürütülebilir dosyanın çıkarılması parola korumalıdır. Ancak dosyaya sabit kodlanmış şifreyle bu bir sorun değildi.

Yürütülebilir dosyanın şifresini girmek için Rusça istem

Dosya daha sonra, Malwarebytes tarafından Trojan.Crypt.MSIL olarak tespit edilen, ağır düzeyde karartılmış taşınabilir yürütülebilir dosyayı çalıştırır; bu, Malwarebytes’in Microsoft Intermediate Language (MSIL) dilinde programlanmış bir tür karartılmış Truva atı için genel algılama adıdır.

Bırakılan yürütülebilir dosya, Lumma Stealer ve ek bir .NET dll kitaplığının birleşimidir.

Malwarebytes ThreatDown müşterileri Gelişmiş Cihaz Kontrolü ile korumanın keyfini çıkarır. Bir USB aygıtı bağlandığında, ThreatDown artık yalnızca erişimi denetlemekle kalmıyor, onu aktif olarak tarıyor. Artık sistem tarayıncaya kadar cihazı engellemeyi de seçebilirsiniz. Bu, tehditlerin herhangi bir zarar vermeden çok önce durdurulduğu anlamına gelir.

IOC’ler

Program adı:

Ağlayan Kadın

Dosya:

%USERPROFILE%\AppData\Local\Outweep Dynes

Dosya adları:

  • InstallerPlus_v3e.5m.exe
  • Installer-Advanced-Installergenius_v4.8z.1l.exe

SHA256 karmaları:

  • 207ee8fb2a824009fe72a857e041297bde3b82626b8883bc05ca8572b4dd148a
  • e0f4382f4534c2c0071ce0779d21f0fed59f428cdb622b1945e0a54157c19f95
  • be6efe16701cb69ec6e48441a6ad1c1f934e0f92878ccdfafc3f52cbc97be5c2

Vibratör:

Spencer’ın Seksoloji Kedi Gücü 8 Fonksiyonlu Şarj Edilebilir Kurşun Vibratör

Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz

Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.



Source link