Tehdit aktörleri, RAT’ları saldırganlara güvenliği ihlal edilmiş sistemlere kalıcı erişim sağlayarak uzun vadeli casusluk ve istismara olanak tanıdığı için kullanır.
Kuzey Koreli bilgisayar korsanları ve oyun topluluğunu hedef alan diğer aktörler, GitHub’da XenoRAT adı verilen ücretsiz kötü amaçlı yazılım kullanıyor.
Hunt’ın araştırma ekibi, virüsün .gg alan adları ve Roblox komut dosyası oluşturma araçları gibi görünen GitHub deposu aracılığıyla yayıldığını buldu.
Xeno RAT GitHub Üzerinden Saldırıyor
AhnLab’ın ASEC bölümü, Kuzey Kore ile bağlantılı bir grubun XenoRAT göndermek için Dropbox’ı kullandığına dair kanıt bulunduğunu iddia etti.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Bunun yanı sıra bir araştırmacı, yazılımın Kimsuky tehdit grubunun muhtemelen kontrol ettiği açık bir dizinde keşfetti.
Bu şekilde artan bir risk, platformlar genelinde oyunculara ve geliştiricilere çok sayıda numara ile ulaşmak için kurnazca yaklaşımlar kullanıyor.
XenoRAT’ın GitHub sayfasında HVNC, ses casusluğu ve SOCKS5 ters proxy gibi daha gelişmiş özellikler bulacaksınız.
İstemciler ve denetleyici arasındaki iletişim, TCP yuvaları aracılığıyla yapılır ve bu, kötü amaçlı etkinlikleri tanımlamak için kullanılabilecek tanımlanabilir bir modeli izler.
Endişe verici olan nokta, kötü amaçlı yazılımın espor topluluğu içinde popüler olan ve oyuncuları hedef alan .gg alan adlarına dağıtılmasıdır. Tespit için ağ IDS kuralları ET web sitesinde mevcuttur.
Tehdit aktörlerinin araçlarını yaymak için tanınmış platformları ve toplulukları nasıl giderek daha fazla kullandığını gösteriyor.
.gg siteleriyle iletişim kuran güvenilmeyen bir dosya olan SynapseX.revamped.V1.2.rar’ın keşfi, Roblox komut dosyası motoru olarak gizlenen bir GitHub deposunun oluşturulmasıyla sonuçlandı.
.webp)
Depo, XenoRAT ve Quasar gibi çeşitli zararlı yürütülebilir dosyalar içeriyordu. Daha önce bu GitHub kullanıcısı bir dosyayı XWorm kötü amaçlı yazılımı olarak tanımıştı.
Daha fazla araştırma, “P-Denny Gaming” adlı bir YouTube kanalının bu kanala bağlı olduğunu ortaya çıkardı ve bu kanal, kullanıcıların kötü amaçlı yazılımı yüklemeden önce Windows Defender’ı kapatmasını önerdi.
.webp)
Kanalın içeriği, yorumlarıyla birlikte bu kötü amaçlı dosyaların gerçek gibi görünmesi için çaba harcadı.
XenoRAT ve diğer kötü amaçlı yazılımlar, GitHub’un yanı sıra .gg alan adları aracılığıyla dağıtıldığında oyun toplulukları için çok tehlikelidir.
Bu tehditler, oyuncuların iyi görünümlü araçlara olan güveninden faydalanarak kişisel verilerin, oyun öğelerinin ve finansal ayrıntıların çalınmasına yol açabilir.
Kötü amaçlı yazılım dağıtımı için açık kaynaklı platformların kullanılması, yaygın enfeksiyon olasılığını artırır.
Kullanıcılar güvenilir gördükleri sitelerden yazılım indirme veya yükleme eğiliminde olsalar bile son derece dikkatli olmaları gerekir.
Güvenli bir internet oyun ortamı için, bu karmaşık sosyal mühendislik hileleri en çok oyun topluluğunu etkilediğinden, ekstra dikkatli ve şüpheci olmak gerekir.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free