Bu blogun arka planı ve IOC’leri, forumlarımızdaki Uzman bir yardımcı ve Malwarebytes araştırmacıları tarafından toplandı. Kendilerine teşekkürlerimizi iletiyoruz.
Yeni, kötü niyetli bir kampanya internette dolaşıyor ve basit bir şekilde başlıyor: Farkında olmayan hedefler, Discord sunucusu üzerinden yeni bir video oyununun beta testine ilgilerini soran bir doğrudan mesaj (DM) alıyor (hedefler ayrıca kısa mesaj veya e-posta da alabilir) . Çoğu zaman mesaj “geliştiricinin” kendisinden gelir; kişisel olarak yaptıkları bir oyunu deneyip deneyemeyeceğinizi sormak, kurbanları cezbetmek için yaygın bir yöntemdir.
İlgilendiği takdirde kurban, vaat edilen yükleyiciyi içeren arşiv için bir indirme bağlantısı ve bir şifre alacaktır.
Arşivler, ekstra güvenilirlik katan güvenliği ihlal edilmiş hesaplar kullanılarak Dropbox, Catbox gibi çeşitli konumlarda ve genellikle Discord içerik dağıtım ağında (CDN) indirilmek üzere sunulmaktadır.
Hedefin aslında indirip yükleyeceği şey aslında bilgi çalan bir Truva Atı’dır.
Ortalıkta dolaşan çeşitli varyasyonlar var. Bazıları NSIS yükleyicilerini kullanıyor, ancak MSI yükleyicilerini de gördük. Bu kanallar aracılığıyla Nova Stealer, Ageo Stealer veya Hexon Stealer gibi çeşitli bilgi hırsızları da yayılıyor.
Nova Stealer ve Ageo Stealer, suçluların kötü amaçlı yazılımı ve altyapıyı diğer suçlulara kiraladığı bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) hırsızıdır. Çoğu tarayıcıda saklanan kimlik bilgilerinin çalınması, Discord ve Steam gibi platformlar için oturum çerezi hırsızlığı ve kripto para birimi cüzdanlarıyla ilgili bilgi hırsızlığı konusunda uzmanlaşmıştır.
Nova Stealer’ın altyapısının bir parçası, suçluların belirli bir olay meydana geldiğinde sunucunun istemciye veri göndermesini sağlayan bir Discord web kancasıdır. Yani bilgileri düzenli olarak kontrol etmek zorunda değiller; bilgi gelir gelmez uyarılacaklar.
Hexon hırsızı nispeten yeni, ancak Stealit Stealer kodunu temel aldığını ve Discord tokenlarını, 2FA yedek kodlarını, tarayıcı çerezlerini, otomatik doldurma verilerini, kayıtlı şifreleri, kredi kartı ayrıntılarını ve hatta kripto para birimi cüzdan bilgilerini sızdırabildiğini biliyoruz.
Hırsızların ana ilgi alanlarından biri, ele geçirilen hesapların ağını genişletmek için kullanılabilecek Discord kimlik bilgileri gibi görünüyor. Bu aynı zamanda onlara da yardımcı oluyor çünkü çalınan bilgilerin bir kısmı kurbanların arkadaşlarının hesaplarını da içeriyor. Suçlular, sayıları giderek artan Discord hesaplarını tehlikeye atarak diğer Discord kullanıcılarını, sıradan arkadaşlarının ve tanıdıklarının kendileriyle konuştuğuna inandırarak kandırabilir ve bu kullanıcıları duygusal olarak manipüle ederek daha fazla dolandırıcılık ve kötü amaçlı yazılım kampanyasına kanmalarını sağlayabilir.
Ancak bu dolandırıcılığın ve diğerlerinin çoğunun nihai hedefi parasal kazançtır. Bu dolandırıcılıklardan birine düşerseniz dijital ve sabit para biriminize dikkat edin.
Sahte oyun siteleri nasıl anlaşılır?
Web sitesi için standart bir şablon kullanan çok aktif bir kampanya var. Bu, siber suçluların isim ve konum değiştirmesini kolaylaştırdığı gibi bizim de onları tanımamızı kolaylaştırır.
Web siteleri, kaldırma isteklerine yanıt vermeyen çeşitli şirketler tarafından barındırılıyor ve genellikle Cloudflare tarafından korunuyor, bu da siteleri kaldırmak isteyen araştırmacılar için ekstra bir zorluk katmanı ekliyor. Bu noktada kolayca yenisini kuracaklar.
Başka bir kampanya, kötü amaçlı yazılımlarını barındırmak için blogspot’u kullanıyor. Blogspot’taki bu siteler farklı ama aynı zamanda standart bir tasarıma sahiptir.
Bu tehditlerden korunmak için diğer etkili önlemler şunlardır:
- Bilgisayarınızda güncel ve aktif bir anti-malware çözümünün bulunması.
- “Arkadaşlardan” gelen davetleri, onlara doğrudan mesaj göndermek veya onlarla başka bir sosyal medya platformu üzerinden iletişime geçmek gibi farklı bir kanal aracılığıyla doğrulamak. Mevcut hesaplarının ele geçirilmiş olabileceğini unutmayın.
- İstenmeyen mesaj ve e-postalara göre hareket etmemeyi unutmayın, özellikle de bir şey indirip yüklemenizi istediklerinde.
IOC’ler
İndirme siteleri:
çift kolordu[.]Fr
Leyamor[.]iletişim
kristal kuşatması[.]iletişim
kristal kuşatması[.]çevrimiçi
Kader zindanı[.]sayfalar.dev
Labirent oyunu[.]blogspot.com
labirent oyunları.[]blogspot.com
kaosun[.]blogspot.com
domenubeta[.]blogspot.com
etki alanı oyunu[.]blogspot.com
Bilinen indirme siteleri, bilgi çalanları da tespit edecek olan Malwarebytes/ThreatDown ürünleri tarafından engellenecektir.
Yalnızca tehditleri bildirmiyoruz; sosyal medyanızı korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Kimlik Hırsızlığı Korumasını kullanarak sosyal medya hesaplarınızı koruyun.