Lone None olarak bilinen bir Vietnam hack grubu, en azından Kasım 2024’ten beri aktif olan çevrimiçi bir aldatmaca kampanyası yürütüyor. Kampanya kişisel ve finansal bilgileri, özellikle kripto para birimini çalmaya odaklanıyor.
Siber güvenlik araştırma firması Cofense Intelligence bu tehdit oyuncunun hareketlerini izliyor ve analizlerini hackread.com ile paylaştı.
Yüz telif hakkı bildirimi
Saldırılar, dünyanın dört bir yanındaki farklı hukuk firmalarından resmi bir yasal bildirimin sahte bir e -postasıyla başlar ve alıcıya telif hakkıyla korunan içeriği web sitelerinden veya sosyal medyalardan çıkarmasını söyler, hatta bazen alıcının gerçek Facebook hesabını adlandırır.
Bu mesajlar, İngilizce, Fransızca, Almanca ve Çince de dahil olmak üzere yaklaşık on farklı dilde gönderilir ve suçluların erişimlerini genişletme amacını gösterir. E -postalar, tıklandığında indirilen bir arşive (zip dosyası gibi) yol açan bir bağlantı içerir. Bu arşiv, PDF’ler veya PNG’ler gibi kanıt belgeleri olarak akıllıca gizlenen kötü amaçlı yazılımları içerir.
Kötü amaçlı yazılımı yürütmek için saldırganlar, kötü amaçlı kodlarını gizlice çalıştırmak ve standart güvenlik kontrollerini atlamak için meşru, imzalı bir programı (güvenilir bir Microsoft Word veya PDF okuyucu yürütülebilir dosyası gibi) kötüye kullanmalarına olanak tanıyan DLL yan yükleme kullanırlar.
Kötü amaçlı yazılım dağıtım
Kampanya iki tür bilgi çalma sağlıyor: Pure Logs Stealer ve daha yeni Lone None Stealer (aka PXA Stealer). Pure günlükler, bir kurbanın tarayıcılarına ve bilgisayarlarına kaydedilen şifreler, kredi kartı numaraları, oturum çerezleri ve yerel kripto cüzdan dosyaları dahil olmak üzere çok çeşitli hassas veri çalır.
Bununla birlikte, Yalnız Yok Stealer, kripto para birimini çalmaya odaklanır. Kurbanın panosunun (kopyalanan metnin geçici olarak saklandığı yer) izler ve bir kripto suyun adresi kopyalanırsa, kötü amaçlı yazılım sessizce suçlunun adresi ile değiştirir. Bu, bir kurbanın bir cüzdan adresini kopyalayıp yapıştırarak para göndermeye çalışması durumunda, fonlar doğrudan hacker’a gider.
Blog yazısında, Cofense Intelligence, Lone None Stealer’ın Haziran 2025’ten bu yana büyüyen kullanımını gösteren eski saf günlükler stealer’ı içeren tüm son raporların yaklaşık üçte birinde (%29) bulunduğunu belirtti.
Kaçan C2
Bu aldatmaca, aktörün bir telgraf bot profili sayfasında saldırının bir sonraki adımı için adresi gizlediği benzersiz bir evreleme tekniği içerir. Ayrıca, Lone None Stealer, Telegram Ağını birincil komut ve kontrol (C2) kanalı olarak kullanır ve toplanan tüm verileri hızla bilgisayar korsanlarına geri gönderir.
Bu aldatmaca doğrudan acil bir yasal anlaşmazlık korkusu üzerinde oynadığından, sahte bir e -postanın işaretlerini tanımak önemlidir. Bu basit önlem, bu tür dolandırıcılıklara karşı en iyi güvenlik olmaya devam ettiği için bağlantıları veya beklenmedik kaynaklardan dosyaları indirmeyin.