Yeni ortaya çıkarılan bir kampanya, oyuncuların, makinelerde kimlik bilgisi çalma kötü amaçlı yazılımları dikmek için çekiş dışı indie başlıklarına yönelik coşkusundan yararlanıyor.
“Baruda Quest”, “Warstorm Fire” ve “Dire Talon” gibi var olmayan oyunlar için markalı yükleyiciler, meşru erken erişim promosyonlarını taklit eden kaygan YouTube fragmanları ve anlaşmazlık indirme bağlantılarından itilir.
.webp)
Lures, 80 MB veya daha ağır olan elektron tabanlı yürütülebilir ürünler içerir, bu da saldırı kodunu yürütmek için gereken Node.js çalışma zamanını bir araya getirirken gündelik denetimden kaçmasına yardımcı olur.
Mağdur, anlaşmazlık evinde olan dosyayı tıkladığında, yükleyici sessizce çıkaran bir nullsoft (NSIS) paketi başlatır. app.asar Stealer’ın JavaScript yükünü tutan arşiv.
Acronis analistleri, operatörlerin bazen okunabilir kaynağı bu arşivden çıkarmayı unuttuğunu ve savunuculara daha az stealer ailesine kadar uzanan taktikleri ve kod soyları hakkında nadir, gözlemsiz bir görüş verdiğini belirtti.
İçeride, araştırmacılar üç aktif varyant belirlediler – Leet Stealer, özelleştirilmiş çatal RMC Stealer ve görünüşte bağımsız bir suş olarak adlandırılan Sniffer Stealer.
Kötü amaçlı yazılım başarılı bir şekilde çalışırsa, Steam ve Telegram gibi platformlar için tarayıcı şifrelerini, çerezleri, uyumsuzluk jetonlarını, kripto wallet dosyalarını ve oturum anahtarlarını sifonlayabilir; Mağdurlar risk hesabı devralma, finansal kayıp ve sekstorüm tarzı şantaj.
.webp)
Bu, Android ve MacOS’un bile Windows kullanıcılarına silahlandırılmış bir hizmet verirken Meşru Sosyal Oyun Kulübü COOEE’ye tıkladığı bir sahte indirme portalı gösteriyor .exeoperatörlerin gerçek ve sahte varlıkları erişimlerini genişletmek için ne kadar ikna edici bir şekilde harmanladığını gösteriyor.
Enfeksiyon Mekanizması: Sandbox Tespit ve Sessiz Tarayıcılar
Her örnek önce bir güvenlik sanal alanının içinde yürütülmediğini doğrular. Sabit kodlu kara listeler Hyper-V, Virtualbox ve düşük ram ana bilgisayarlar bayrağı; Herhangi bir öğenin eşleştirilmesi, sahte bir “oyun hatası” diyalogunu tetikler ve işlemi sonlandırır, bu da kötü amaçlı yazılım maskeli balosunun otomatik analizi sinir bozucu olarak hatalı bir beta yapısı olarak sağlayan bir ploy.
Kritik mantık şuna benziyor:-
const blacklistedGPUs = [
'VMware SVGA 3D',
'VirtualBox Graphics Adapter'
];
exec('wmic path win32_VideoController get name', (err, out) => {
if (blacklistedGPUs.some(gpu => out. Includes(gpu))) {
showFakeError(); // abort on virtual hardware
} else {
launchStealer();
}
});Bu kontrolleri geçerek, kötü amaçlı yazılım, kurbanın kendi krom ailesi tarayıcısını başsız hata ayıklama modunda ortaya çıkarır ve https://mail.google.com Uzaktan kötü niyetli bir bağlantı noktası açığa çıkarırken.
Bu bağlantı noktası aracılığıyla komut dosyası taze çerezleri çıkarır ve verileri doğrudan canlı bellekten, disk düzeyinde şifreleme ve kilitli dosyalardan uzaklaştırır.
Toplanan eserler sıkıştırılır ve yüklenir gofile.io; Gibi Geri Alma Hostları file.io– catbox.moeVe tmpfiles.org Bir hizmet engellenmiş olsa bile eksfiltrasyondan emin olun.
Ayrı bir iş parçacığı, ortaya çıkan indirme URL’sini saldırganın komut ve kontrol sunucusuna, hasat edilmiş uyumsuzluk jetonlarıyla birlikte ileterek kurbanların sohbet geçmişlerine ve sosyal grafiklerine anında, tam oturum erişimini sağlıyor.
Cilalı sosyal medya pazarlamasını VM’ye duyarlı yürütme ve tarayıcı-Debug çıkarma gibi teknik hilelerle kaynaştırarak, kampanya modern emtia çalıcılarının hem kullanıcıları hem de otomatik savunmaları daha da aşabilecek çok katmanlı tehditlere dönüştüğünü gösteriyor.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi