Bilgi çalan kötü amaçlı yazılımın Rhadamanthys adlı güncellenmiş bir sürümü, petrol ve gaz sektörünü hedef alan kimlik avı kampanyalarında kullanılıyor.
Cofense araştırmacısı Dylan Duncan, “Kimlik avı e-postaları, benzersiz bir araç olayı tuzağı kullanıyor ve enfeksiyon zincirinin sonraki aşamalarında Federal Ulaştırma Bürosu'nu, olayla ilgili önemli bir para cezasının belirtildiği bir PDF dosyasında sahtekarlıkla kullanıyor.” dedi.
E-posta mesajı, alıcıları varsayılan bir PDF belgesini barındıran bir bağlantıya yönlendirmek için açık yönlendirme kusurundan yararlanan kötü amaçlı bir bağlantıyla birlikte gelir; ancak gerçekte, tıklatıldığında, hırsızın yükünü içeren bir ZIP arşivini indiren bir görüntüdür.
C++ ile yazılan Rhadamanthys, ele geçirilen ana bilgisayarlardan hassas verileri toplamak amacıyla bir komuta ve kontrol (C2) sunucusuyla bağlantı kurmak üzere tasarlanmıştır.
Duncan, “Bu kampanya, emniyet teşkilatının LockBit fidye yazılımı grubunu ele geçirmesinden birkaç gün sonra ortaya çıktı” dedi. “Bu bir tesadüf olsa da Trend Micro, Ağustos 2023'te, bir kesme kötü amaçlı yazılımı ve kripto para madencisinin yanı sıra sızdırılmış bir LockBit yüküyle birlikte gelen bir Rhadamanthys varyantını ortaya çıkardı.
Şirket, “Tehdit aktörleri, tek bir Rhadamanthys paketine bir bilgi hırsızı ve LockBit fidye yazılımı çeşidinin bir kombinasyonunu ekledi; bu da muhtemelen kötü amaçlı yazılımın devam eden evrimine işaret ediyor” dedi. kayıt edilmiş.
Bu gelişme, Sync-Scheduler ve Güçlü HırsızStrelaStealer gibi mevcut türler gelişmiş gizleme ve anti-analiz teknikleriyle gelişirken bile.
Bu aynı zamanda Endonezya'yı hedef alan ve bankacılıkla ilgili tuzaklar kullanarak Agent Tesla kötü amaçlı yazılımını yaymak ve oturum açma bilgileri, finansal veriler ve kişisel belgeler gibi hassas bilgileri yağmalayan bir malspam kampanyasının ortaya çıkmasının da ardından geliyor.
Check Point'e göre, Kasım 2023'te gözlemlenen Ajan Tesla kimlik avı kampanyaları da gözlerini Avustralya ve ABD'ye dikmiş durumda ve operasyonları Bignosa (diğer adıyla Nosakhare Godson ve Andrei Ivan) ve Tanrılar (diğer adıyla Nosakhare Godson ve Andrei Ivan) olarak takip edilen iki Afrika kökenli tehdit aktörüne atfediyor. GODINHO veya Kmarshal veya Kingsley Fredrick), ikincisi web tasarımcısı olarak çalışıyor.
“Baş aktör [Bignosa] İsrailli siber güvenlik şirketi, “ABD ve Avustralya e-posta iş veritabanlarının yanı sıra bireyler tarafından da doğrulanan, kötü amaçlı yazılım ve kimlik avı kampanyaları yürüten, kuruluşları hedef alan bir grubun parçası gibi görünüyor” dedi.
Bu saldırı zincirleri aracılığıyla dağıtılan Agent Tesla kötü amaçlı yazılımının, yazılım programlarının tersine mühendislik veya değişiklik çabalarına karşı korunmasına yardımcı olan Cassandra Protector tarafından güvence altına alındığı tespit edildi. Mesajlar RoundCube adı verilen açık kaynaklı bir web posta aracı aracılığıyla gönderilir.
Check Point, “Bu tehdit aktörlerinin eylemlerinin açıklamasından da anlaşılacağı üzere, son birkaç yılda en yaygın kötü amaçlı yazılım ailelerinden birinin arkasında siber suç operasyonları yürütmek için roket bilimi derecesine gerek yok” dedi.
“Bu, düşük giriş seviyesi eşiğinin neden olduğu talihsiz bir olaydır, böylece kurbanları spam kampanyaları yoluyla kötü amaçlı yazılım başlatmaya teşvik etmek isteyen herkes bunu yapabilir.”