adlı yeni bir gizli bilgi hırsızı kötü amaçlı yazılımı Haydut Hırsızı çok sayıda web tarayıcısını ve kripto para cüzdanını hedefleyebilme yeteneği nedeniyle siber güvenlik araştırmacılarının dikkatini çekti.
Trend Micro Cuma günkü bir raporunda, “Bandit Stealer, Go programlama dili kullanılarak geliştirildiğinden ve muhtemelen platformlar arası uyumluluğa izin verdiğinden, diğer platformlara yayılma potansiyeline sahiptir.”
Kötü amaçlı yazılım şu anda, kullanıcıların programları farklı izinlere sahip başka bir kullanıcı olarak çalıştırmasına izin veren runas.exe adlı meşru bir komut satırı aracı kullanarak Windows’u hedeflemeye odaklanmıştır.
Amaç, ayrıcalıkları yükseltmek ve kendisini yönetici erişimiyle yürütmek, böylece geniş veri yığınlarını toplamak için güvenlik önlemlerini etkin bir şekilde atlamaktır.
Bununla birlikte, Microsoft’un aracın yetkisiz olarak yürütülmesini önlemeye yönelik erişim denetimi azaltmaları, bir yönetici gerekli kimlik bilgilerini sağlamayı gerektirdiğinden, kötü amaçlı yazılım ikilisini çalıştırma girişimi anlamına gelir.
Trend Micro, “runas.exe komutunu kullanarak, kullanıcılar programları yönetici olarak veya uygun ayrıcalıklara sahip herhangi bir başka kullanıcı hesabı olarak çalıştırabilir, kritik uygulamaları çalıştırmak için daha güvenli bir ortam sağlayabilir veya sistem düzeyindeki görevleri gerçekleştirebilir” dedi.
“Bu yardımcı program, mevcut kullanıcı hesabının belirli bir komutu veya programı yürütmek için yeterli ayrıcalığa sahip olmadığı durumlarda özellikle kullanışlıdır.”
Bandit Stealer, sanal ortamda mı yoksa sanal ortamda mı çalıştığını belirlemek için kontroller içerir ve virüslü sistemdeki varlığını gizlemek için engellenenler listesine alınan işlemlerin bir listesini sonlandırır.
Ayrıca, web tarayıcılarında ve kripto cüzdanlarında saklanan kişisel ve finansal verileri toplamayı içeren veri toplama faaliyetlerine başlamadan önce Windows Kayıt Defteri değişiklikleri yoluyla kalıcılık sağlar.
Bandit Stealer’ın, arka planda enfeksiyonu tetiklerken dikkat dağıtma manevrası olarak görünüşte zararsız bir Microsoft Word ekini açan bir damlalık dosyası içeren kimlik avı e-postaları aracılığıyla dağıtıldığı söyleniyor.
Trend Micro ayrıca, çok sayıda alıcıya istenmeyen e-postalar ve SMS mesajları gönderme sürecini otomatikleştiren ve kullanıcıları gömülü kötü amaçlı yazılımı başlatmaları için kandırmak için kullanılan bir hizmet olan Heart Sender’ın sahte bir yükleyicisini tespit ettiğini söyledi.
Bu gelişme, siber güvenlik firmasının, kurbanın web tarayıcısı kimlik bilgilerini, kredi kartlarını, kripto para cüzdanlarını ve Steam ve Discord jetonlarını elde etmek için saldırgan tarafından bir sızma kanalı olarak kontrol edilen bir GitHub Codespaces web kancasından yararlanan Windows’u hedefleyen Rust tabanlı bir bilgi hırsızını ortaya çıkarmasıyla ortaya çıktı.
Nispeten nadir bir taktik olan kötü amaçlı yazılım, uygulamadan bilgi yakalamak için tasarlanmış JavaScript kodunu enjekte etmek için kurulu Discord istemcisini değiştirerek sistemde kalıcılık sağlar.
Bulgular aynı zamanda, Luca, StrelaStealer, DarkCloud, WhiteSnake ve Invicta Stealer gibi, bazılarının spam e-postalar ve popüler yazılımların hileli sürümleri yoluyla yayıldığı gözlemlenen çeşitli emtia hırsızı kötü amaçlı yazılım türlerinin ortaya çıkışını da takip ediyor.
Bir başka dikkate değer trend, milyonlarca abonesi olan güvenliği ihlal edilmiş kanallar aracılığıyla crackli yazılımların reklamını yapmak için YouTube videolarının kullanılmasıdır.
Hırsızlardan toplanan veriler, operatörlerin kimlik hırsızlığı, finansal kazanç, veri ihlalleri, kimlik bilgileri doldurma saldırıları ve hesap ele geçirme gibi amaçlardan yararlanmalarına olanak tanıyarak birçok yönden fayda sağlayabilir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Çalınan bilgiler, hedeflenen kampanyalardan fidye yazılımı veya gasp saldırılarına kadar değişebilen takip saldırıları için bir temel görevi görerek diğer aktörlere de satılabilir.
Bu gelişmeler, tıpkı hizmet olarak kötü amaçlı yazılım (MaaS) pazarının onları hazır hale getirmesi ve hevesli siber suçlular için giriş engellerini azaltması gibi, hırsız kötü amaçlı yazılımların daha ölümcül bir tehdide dönüşmeye devam ettiğini vurgulamaktadır.
Gerçekten de, Secureworks Counter Threat Unit (CTU) tarafından toplanan veriler, Rusya Pazarı gibi yeraltı forumlarında Haziran 2021 ile Mayıs 2023 arasında %670’lik bir artış kaydeden çalınan günlük hacmiyle “gelişen bir bilgi hırsızı pazarı” ortaya çıkardı.
Şirket, “Rusya Pazarı, en yakın forum rakibi 2easy’den yaklaşık on kat daha fazla olan beş milyon kütüğü satışa sunuyor” dedi.
“Rus Pazarı, Rus siber suçlular arasında köklü bir yer tutuyor ve dünya çapındaki tehdit aktörleri tarafından yaygın olarak kullanılıyor. Rusya Pazarı kısa süre önce üç yeni hırsızın günlüklerini ekledi; bu da sitenin sürekli değişen e-suç ortamına aktif olarak uyum sağladığını gösteriyor.”
MaaS ekosistemi, artan karmaşıklığına rağmen, kanun uygulama eylemlerinin tehdit aktörlerini Warez’lerini Telegram’da satmasına neden olan bir akış halinde.
Secureworks CTU’nun başkan yardımcısı Don Smith, “Gördüğümüz şey, tamamen bir yeraltı ekonomisi ve bilgi hırsızları etrafında inşa edilmiş destekleyici altyapıdır;
“Kolluk kuvvetlerinin koordineli küresel eyleminin bir miktar etkisi var, ancak siber suçlular pazara giden rotalarını yeniden şekillendirmede ustalar.”