Çevrimiçi oyun platformu Roblox'un geniş kullanıcı tabanını hedef alan yeni bir kötü amaçlı kampanya açıklandı.
Bu kampanya, kurbanlarına ulaşmak için YouTube ve Discord gibi platformların popülaritesinden yararlanan, Tweaks veya Tweaker olarak bilinen, bilgi hırsızlığı yapan bir kötü amaçlı yazılım dağıtıyor.
Bu strateji, saldırganların bilinen kötü amaçlı sunucuları engelleyen geleneksel web filtrelerini atlamasına olanak tanıyarak kampanyayı özellikle sinsi hale getiriyor.
Dünya çapında milyonlarca oyuncuya sahip bir platform olan Roblox, birçok oyun ve deneyim sunuyor.
Oyuncuları cezbeden önemli bir özellik, iyileştirilmiş Saniyede Kare Sayısı (FPS) aracılığıyla gelişmiş oyun vaadidir.
Saldırganlar, daha sorunsuz bir oyun deneyimi için bu arzuyu istismar ederek, kullanıcıları FPS optimizasyon araçları olarak gizlenen kötü amaçlı yazılımları indirmeye kandırıyor.
YouTube ve Discord'u Kullanmak
Saldırganlar YouTube'u akıllıca kullanarak kullanıcılara Roblox'ta FPS'lerini artırma konusunda rehberlik eden videolar oluşturdu.
Bu videolar genellikle, sistemleri kötü amaçlı yazılımlara karşı savunmasız bırakmak için tasarlanmış bir taktik olan “PC iyileştirici”nin düzgün çalışmasını sağlamak için antivirüs yazılımının devre dışı bırakılmasını önerir.
Video açıklamaları, saldırganlar tarafından kontrol edilen ve kullanıcıların optimizasyon dosyalarının ücretsiz ve ücretli sürümleriyle daha da baştan çıkarıldığı Discord gruplarına bağlantılar içeriyor.
Kullanıcıların haberi olmadan bu dosyaların indirilmesi, Tweaks kötü amaçlı yazılımının yüklenmesiyle sonuçlanır.
Zscaler'ın ThreatLabz'ı, popüler bir çevrimiçi oyun platformu olan Roblox kullanıcılarını hedeflemek için tasarlanmış Tweaks (Tweaker olarak da bilinir) adlı bir bilgi hırsızını dağıtan yeni bir kötü amaçlı kampanya tespit etti.
Kötü amaçlı yazılım, virüs bulaştığı cihazdan hassas bilgileri çalar ve bunu komuta ve kontrol sunucusuna gönderir.
Kötü amaçlı yazılım bulaştığında arka planda çalışarak hassas verileri çalarken görünüşte oyun deneyimini geliştiriyor.
Bu ikili işlevsellik, kötü amaçlı yazılımın kurbanları arasında şüphe yaratma olasılığını azaltır.
Teknik Arıza
Tweaks kötü amaçlı yazılımı özellikle haindir ve Wi-Fi profilleri ve şifreleri, kullanıcı konumu, sistem bilgileri, Roblox kimlikleri ve oyun içi para birimi ayrıntıları dahil olmak üzere çok çeşitli verileri çalabilmektedir.
Bu verileri sızdırmak için PowerShell tabanlı komut dosyaları kullanıyor ve bunları Discord web kancaları aracılığıyla saldırganların kontrolündeki sunuculara gönderiyor.
İki vaka çalışması, kötü amaçlı yazılımın dağıtım yöntemlerini vurgulamaktadır:
Bunlardan biri, Mediafire bağlantısından indirilen kötü amaçlı bir BAT dosyasını içeriyor ve diğeri, kötü amaçlı yazılımı ZIP arşivi içindeki bir EXE dosyası olarak gizlenerek doğrudan Discord'da satıyor.
Her iki yöntem de hassas bilgilerin çalınmasına neden oluyor ve ikincisi ücretli sürümü tercih edenlerin mali kaybına da neden oluyor.
Azaltma ve Tavsiye
Kampanya, İnternetten, özellikle de YouTube ve Discord gibi genel olarak güvenli kabul edilen platformlardan yazılım indirirken dikkatli olmanın öneminin altını çiziyor.
Kullanıcıların uygulamaları yalnızca saygın kaynaklardan indirmeleri ve antivirüs yazılımını devre dışı bırakma konusunda dikkatli olmaları tavsiye edilir.
Oyuncular bu önlemleri alarak kendilerini bu tür kötü amaçlı yazılım tehditlerine karşı koruyabilirler.
Zscaler Sandbox'ın bu kampanyaya ilişkin analizi, Tweaks kötü amaçlı yazılımının davranışını ve etkisini anlamada etkili oldu ve gelişen çevrimiçi tehditler karşısında sağlam siber güvenlik önlemlerine duyulan ihtiyacın altını çizdi.
Çevrimiçi oyunların popülaritesinin artmaya devam ettiği dijital çağda, Tweaks Stealer kampanyası beraberinde gelen siber güvenlik risklerini net bir şekilde hatırlatıyor.
Saldırganların yöntemleri daha karmaşık hale geldikçe, güvenli bir oyun ortamı sağlamak için kullanıcılar ve platformların bir adım önde olması gerekiyor.
IOC'ler
| MD5 | Dosya tipi |
| e35864892846be3462139f9534d5ddb5 | EXE |
| 0e8d32259b06ab01cd04587b1ae5d0c1 | yarasa |
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan