adlı bir bilgi hırsızı kötü amaçlı yazılımı “VektörStealer”, değerli .rdp dosyalarını çalma yeteneğine sahip olan Cyble araştırmacıları tarafından tespit edildi.
Siber suçlular, kimlik hırsızlığı ve mali dolandırıcılık yapmak için genellikle bilgi hırsızlarını kullanır. Çalınan dosyalar, uzaktan kontrol için gerekli tüm önemli bilgiler de dahil olmak üzere RDP oturumlarına erişmenin anahtarını içerdiğinden, çalma eylemi, kötü niyetli kişilerin RDP korsanlığı gerçekleştirmesine olanak tanır.
Bilgi hırsızları, bilgisayarlardan ve diğer cihazlardan hassas bilgileri çalmak için yaygın olarak kullanılır. Parolalar, kredi kartı numaraları, banka bilgileri ve diğer gizli bilgiler gibi hassas verileri kullanıcının bilgisi veya onayı olmadan yakalayabilir ve sızdırabilirler.
VectorStealer: Piyasadaki yeni bir bilgi hırsızı
VectorStealer, 2022’nin ikinci yarısında siber suç forumlarında su yüzüne çıktı. Bu hırsızın arkasındaki tehdit aktörü (TA), öncelikle bir web paneli ve bir Telegram kanalı üzerinden çalışıyor.
Rapora göre VectorStealer, Firefox, Chrome ve Safari dahil olmak üzere tüm büyük tarayıcılardan hassas bilgileri kurtarma yeteneğine sahiptir.
Hırsız ayrıca, Discord jetonlarını ve hassas dosyaları çalmanın yanı sıra virüslü bilgisayar hakkında temel bilgileri toplama yeteneğine de sahiptir. Hırsızın yükü Bitcoin’de 63 USD’ye satılıyor.
Hırsız yükü, saldırganın gelişmiş programlama becerilerine sahip olmadan özel kötü amaçlı yazılım oluşturmasına olanak tanıyan web paneli aracılığıyla oluşturulabilir. Web paneli, kullanıcı dostu bir arayüze sahiptir ve kötü amaçlı yazılımın gerçekleştireceği eylemleri belirlemek ve kötü amaçlı yazılımın davranışını yapılandırmak gibi çeşitli özelleştirme seçenekleri sunar.
Kurbanın sisteminden çalınan hassas bilgiler SMTP, Discord ve Telegram kullanılarak dışarı sızabilir. İlginç bir şekilde, TA aynı web panelinde KGB Crypter’ın reklamını yapıyor ve bu crypter’ın birden fazla antivirüs çözümünü öldürebileceğini iddia ediyor.
Şifreleyiciler, tehdit aktörleri tarafından kötü amaçlı yazılım kodunu şifreleyerek tespit edilmekten kaçınmak için kullanılan araçlardır ve bu da antivirüs yazılımının kodu tespit edip kaldırmasını zorlaştırır.
KGB Crypter’ın arkasındaki tehdit aktörleri, hizmeti web siteleri aracılığıyla sağlıyor ve .Net ve C++ tabanlı ikili dosyalar ile uyumlu olduğunu iddia ediyor. Ayrıca Redline, Quasar RAT, Venom RAT ve Pandora RAT gibi çok sayıda önde gelen kötü amaçlı yazılım ailesinin zaten bu şifreleyiciyi kullandığını iddia ediyorlar.
KGB Crypter’ın yaratıcıları Rus kökenlidir ve 1.000’den fazla kullanıcının sitelerine kaydolmasıyla övünür, bu da onun TA’lar arasındaki popülaritesini gösterir.
Kripter, aylık 145 ABD Doları karşılığında ücretli bir hizmet olarak sunulur ve her derlendiğinde kodu değiştirerek antivirüs yazılımının algılamasını zorlaştıran metamorfik bir üreteç ile donatılmıştır.
VectorStealer ve KGB Crypter, çevrimiçi güvenlik ve hassas bilgiler için önemli bir tehdit oluşturmaktadır. Bireyler ve kuruluşlar, sistemlerini ve hassas verilerini korumak için yazılım ve güvenlik araçlarını güncel tutmak, şüpheli e-posta ve bağlantılardan kaçınmak ve yalnızca güvenilir kaynaklardan uygulama indirmek gibi önlemler almalıdır.
VectorStealer: Bilgi hırsızları nasıl çalışır?
VectorStealer gibi bilgi hırsızları, genellikle bilgisayar veya mobil cihaz gibi bir cihaza sızarak ve ardından sistemi hassas bilgiler için aktif olarak izleyerek çalışır. Bunu başarmak için keylogging, ekran yakalama veya veri kazıma gibi çeşitli teknikler kullanabilirler.
Bilgi hırsızı istenen verileri elde ettikten sonra, kimlik hırsızlığı veya finansal dolandırıcılık gibi kötü amaçlar için kullanılabileceği saldırgan tarafından kontrol edilen uzak bir sunucuya sızdırabilir.
Bilgi çalanlar, e-posta ekleri, kötü amaçlı web siteleri ve yazılım indirmeleri dahil olmak üzere çeşitli yöntemlerle bir cihaza teslim edilebilir. Ayrıca meşru yazılımlar içinde gizlenebilir veya zararsız uygulamalar veya programlar olarak gizlenebilirler.
Kendini bilgi hırsızlarından korumak için tek bir çözüm bulunmamakla birlikte, temel kural, yazılım ve güvenlik araçlarını güncel tutmak, şüpheli e-postalardan ve bağlantılardan kaçınmak ve yalnızca uygulamaları indirmek gibi güvenli bilgisayar kullanma alışkanlıklarının uygulanması gerektiğini söylüyor. Bir bilgi hırsızının kurbanı olma riskini azaltmak için saygın kaynaklar.
RDP korsanlığı nedir?
RDP korsanlığı, genellikle çalınan oturum açma kimlik bilgileri veya RDP yapılandırmasındaki güvenlik açıklarından yararlanılarak gerçekleştirilen bir uzak masaüstü protokolü (RDP) sunucusuna yetkisiz erişim anlamına gelir.
Bu bilgisayar korsanlığı, bir saldırganın bir kurbanın bilgisayarını veya ağını uzaktan kontrol etmesine, potansiyel olarak hassas bilgilere erişmesine, kötü amaçlı yazılım yüklemesine veya güvenliği ihlal edilmiş sistemi başka kötü amaçlar için kullanmasına olanak tanır.
RDP korsanlığının bireyler ve kuruluşlar için ciddi sonuçları olabilir ve bu tür saldırıları önlemek için RDP bağlantılarının güvenliğini sağlamak çok önemlidir.
Bilgisayar korsanlarının RDP’lere saldırmasının birkaç yolu vardır; bunlardan bazıları kaba kuvvet saldırıları kullanır, güvenli olmayan RDP bağlantılarından yararlanır, kötü amaçlı RDP yazılımı enjekte eder ve bir RDP ekosistemine saldırırken ortadaki adam saldırıları hala yaygındır.
Bunlar, güvenli RDP yapılandırmalarının ve bu tür saldırıları önleme uygulamalarının önemini vurgulayarak, RDP sistemlerinin hacklenebileceği birçok yoldan yalnızca birkaç örnektir.