Siber güvenlik araştırmacıları, Lumma ve ACR stealer gibi bilgi stealer’larını dağıtmak için bir cazibe olarak yazılımın çatlak versiyonlarını kullanan yeni bir kampanyayı uyarıyor.
Ahnlab Güvenlik İstihbarat Merkezi (ASEC), Ocak 2025’ten bu yana ACR Stealer’ın dağıtım hacminde bir artış gözlemlediğini söyledi.
Stealer kötü amaçlı yazılımının dikkate değer bir yönü, gerçek komut ve kontrol (C2) sunucusunu çıkarmak için Dead Drop Reserver adlı bir tekniğin kullanılmasıdır. Bu, Steam, Telegram’ın Telegraph, Google Forms ve Google Slaytları gibi meşru hizmetlere güvenmeyi içerir.
ASEC, “Tehdit aktörleri, belirli bir sayfada Base64 kodlamasına gerçek C2 alanına giriyorlar.” Dedi. “Kötü amaçlı yazılım bu sayfaya erişir, dizeyi ayrıştırır ve kötü niyetli davranışlar gerçekleştirmek için gerçek C2 etki alanı adresini alır.”
Daha önce Buluşma Yükleyicisi kötü amaçlı yazılım aracılığıyla dağıtılan ACR Stealer, dosyalar, web tarayıcı verileri ve kripto para birimi cüzdan uzantıları dahil olmak üzere tehlikeye atılan sistemlerden çok çeşitli bilgileri hasat edebilir.
Geliştirme, ASEC’in Rhadamanthys Stealer kötü amaçlı yazılımını sunmak için Microsoft Yönetim Konsolu (MMC) tarafından yürütülebilen “MSC” uzantısı olan dosyaları kullanan başka bir kampanya açıkladığı gibi geliyor.
Güney Koreli şirket, “İki tür MSC kötü amaçlı yazılım vardır: biri APDS.DLL’nin (CVE-2024-43572) güvenlik açığından yararlanır ve diğeri konsol görevPad’i kullanarak ‘komut’ komutunu yürütür.” Dedi.
“MSC dosyası bir MS Word belgesi olarak gizlenir.” ‘Açık’ düğmesi tıklandığında, harici bir kaynaktan bir PowerShell komut dosyasını indirir ve yürütür. İndirilen PowerShell betiği bir exe dosyası (Rhadamanthys) içerir. “
Grimresource olarak da adlandırılan CVE-2024-43572, ilk olarak Haziran 2024’te elastik güvenlik laboratuvarları tarafından kötü niyetli aktörler tarafından sıfır gün olarak sömürüldüğü olarak belgelenmiştir. Ekim 2024’te Microsoft tarafından yamalandı.
Kötü amaçlı yazılım kampanyaları, Zendesk gibi sohbet destek platformlarından yararlanarak, şüphesiz destek aracılarını Zhong Stealer adlı bir stealer indirmeleri için kandırmak için müşteriler olarak maskelendi.
Hudson Rock tarafından yayınlanan yakın tarihli bir rapora göre, 30.000.000’den fazla bilgisayar “son birkaç yılda” bilgi çalanlar tarafından enfekte edildi ve daha sonra diğer aktörlere yeraltı forumlarında sibercriminals tarafından satılabilecek kurumsal kimlik bilgilerinin ve oturum çerezlerinin çalınmasına yol açtı. kâr için.
Alıcılar, bu kimlik bilgilerinin kendilerine ait gözetleme sonrası eylemleri aşamasına ve şiddetli risklere yol açan erişimi silahlandırabilirler. Bu gelişmeler, hassas kurumsal ortamlara dayanak sağlayan başlangıç erişim vektörü olarak Stealer kötü amaçlı yazılımların oynadığı rolü vurgulamaktadır.
Hudson Rock, “Kütük başına 10 $ ‘a kadar az bir süre için, siber suçlular, sınıflandırılmış savunma ve askeri sektörlerde çalışan çalışanlardan çalınan veri satın alabilirler.” Dedi. “Infostealer Intelligence sadece kimin enfekte olduğunu tespit etmekle ilgili değil-bu, tehlikeye atılan kimlik bilgilerinin ve üçüncü taraf risklerin tam ağını anlamakla ilgili.”
Geçtiğimiz yıl boyunca, tehdit aktörleri, kullanıcıları sıklıkla sahte captcha doğrulama sayfalarını kopyalamalarını söyleyen bir ClickFix adı verilen bir teknikle, çalanlar ve uzaktan erişim trojansları (sıçanlar) dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini yayma çabalarını artırıyorlar. ve Nefarious PowerShell komutlarını yürütmek.
Bu tür bir yük, son C2 sunucusunu anonimleştirmek için I2P anonimleştirme ağını kullanan I2PRAT’dır.
Sekoia, “Kötü amaçlı yazılım, her biri sofistike mekanizmalar içeren çoklu katmanlardan oluşan gelişmiş bir tehdittir.” Dedi. “Bir anonimleştirme ağının kullanımı izlemeyi zorlaştırıyor ve tehdidin büyüklüğünün ve vahşi doğaya yayılmasının tanımlanmasını engelliyor.”