Güçlü bir uzaktan erişim Truva (sıçan) olan Venomrat’tan yararlanan kötü niyetli bir siber kampanya ortaya çıkarıldı ve Bitdefender’ın Windows For Windows İndirme Sayfası’nı taklit eden aldatıcı bir web sitesi aracılığıyla şüphesiz kullanıcılar için önemli bir tehdit oluşturdu.
Hileli alan, “bitdefender indirme[.]com, ”kurbanları, meşru siteye yakından benzeyen ancak“ özgür ”kelimesinin ihmal edilmesi gibi ince tutarsızlıklarla“ Windows For Windows ”başlıklı sahte bir arayüzle çekiyor.
İndirme düğmesine tıklamak, bir Amazon S3 kaynağına yönlendiren bir BitBucket URL’sinde barındırılan kötü amaçlı bir dosyanın “Bitdefender.zip” ‘in alınmasını tetikler.
.png
)
Bu arşiv, venomrat için yapılandırmaları açık kaynaklı araçlar sessizliğinden ve Stormkitty’den kodla birlikte yerleştiren “StoreInstaller.exe” içerir ve sızma, hırsızlık ve kalıcılık için tasarlanmış ölümcül bir kötü amaçlı yazılım üçlüsü oluşturur.
Sahte Bitdefender sitesi olan kullanıcıları hedefler
Açık kaynaklı Quasar sıçanının çatalı olan Venomrat, bu işlemin omurgası olarak hizmet eder, bu işlemin omurgası olarak hizmet eder, başlangıç erişimi ve uzaktan erişim, keyloglama ve veri açığa çıkma gibi yeteneklere sahip uzlaşmış sistemler üzerinde sürekli kontrolü kolaylaştırır.
Bir kimlik bilgisi stealer olan Stormkitty, parolaları ve kripto para birimi cüzdanı bilgilerini hızla hasat ederken, Silenttrinity erişim satışları yoluyla potansiyel tekrarlanan sömürü veya para kazanma için gizli, uzun vadeli erişim sağlar.
Analiz, IP ve bağlantı noktası kombinasyonunu özellikle yeniden kullanan tutarlı Venomrat komuta ve kontrol (C2) altyapısını ortaya çıkardı 67.217.228[.]160: 4449, 172.93.222 gibi diğer IP’lerin yanında birden çok örnekte[.]102: 4449 ve 185.208.159[.]121: 6000.
Bu yeniden kullanım, 3389 hizmeti için bir Shodan karma (-971903248) gibi tanımlanabilir yapılandırmalarla birleştiğinde, araştırmacıların aktörün geniş operasyonel ayak izini doğrulayan ek ilgili altyapıya dönmesini sağladı.
Finansal sömürü için modüler kötü amaçlı yazılım cephaneliği
Kampanya, GitHub’da barındırılan kötü niyetli yürütülebilir ürünler ve Idbank ve Kanada Kraliyet Bankası gibi finansal kurumların yanı sıra jenerik BT hizmetlerini içeren diğer kimlik avı alanları dahil olmak üzere bu sahte Bitdefender sitesinin ötesine uzanıyor.
Bu saldırı, açık kaynaklı bileşenlerden inşa edilen modüler kötü amaçlı yazılımların artan eğilimini örneklendirir ve siber suçluların verimli, uyarlanabilir tehdit oluşturmasına izin verir.
Venomrat’ın erişim yetenekleri, Stormkitty’nin hızlı hasadı ve Silenttrinity’nin gizli kalıcılığının birleşimi ikili bir niyeti vurgular: çalınan kimlik bilgileri ve uzun vadeli sistem uzlaşmasıyla derhal finansal kazanç.
Cloudflare ile barındırılan ad sunucuları ve TLS sertifikaları gibi altyapı çakışır, sahte bitdefender alanını “idram-güvenlik gibi diğer kimlik avı tuzaklarına bağlayın[.]Canlı ”ve“ RoyalBanksecure[.]Çevrimiçi, ”çok çeşitli kullanıcıları hedeflemek için koordineli bir çabayı ortaya koyuyor.
Günlük internet kullanıcıları için risk, güvenilir olduğu görünen şeylere kesin bir tıklamayı, bir kötü amaçlı yazılımın baskılandırabileceğini ve tehlikeye atılan banka hesapları ve dijital cüzdanlar aracılığıyla doğrudan kişisel finansmanı tehdit edebileceğidir.
Dikkat kritiktir: Yazılım indirmeden veya kimlik bilgilerini girmeden önce her zaman web sitesi URL’lerini doğrulayın, şüpheli bağlantılardan kaçının ve bu gelişen tehditleri azaltmak için sağlam siber güvenlik uygulamalarını sürdürün.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!