Yeni Meduza Kötü Amaçlı Yazılımı Windows’ta Cüzdanları, Parolaları ve Tarayıcıları Hedefliyor

   Temmuz 3, 2023  Posted in HackRead


Meduza yazarları, kötü amaçlı yazılımı abonelik tabanlı bir hizmet olarak tanıtıyor ve 1 aylık, 3 aylık ve ömür boyu erişim planları sunuyor.

Hizmet Olarak Suç Yazılımı (CaaS) operasyonları, siber suç dünyasının en son modası haline geldi ve Meduza Kötü Amaçlı Yazılımı, sürekli artan cephaneliğine eklenen en yeni silah.

Uptycs Tehdit araştırmacıları, Meduza Stealer’ın aktif geliştirme aşamasında olduğunu ve kapsamlı veri çalma yeteneklerinin yanı sıra gelişmiş algılama kaçırma tekniklerine sahip olduğunu bildirdi.

Meduza Hırsızı Nasıl Keşfedildi?

Uptycs araştırmacıları, Telegram kanallarını ve Dark Web forumlarını izlerken Meduza kötü amaçlı yazılımını keşfetti. İlk inceleme, hırsızın Meduza kullanıcı adına sahip biri tarafından geliştirildiğini ortaya çıkardı. Kötü amaçlı yazılım yöneticisine göre Meduza, fidye yazılımı işlemleri gerçekleştirmez ve yalnızca bilgi hırsızı olarak işlev görür.

Meduza Hedefleri- Windows Sistemleri ve Tarayıcılar

Kötü amaçlı yazılım, Windows tabanlı sistemleri ve kuruluşları hedeflemek için tasarlanmıştır. Şu anda on ülkeyi hedefliyor ve oturum açma kimlik bilgilerinden tarama geçmişine, yer imlerine vb. kadar çok çeşitli sistem ve tarayıcı verilerini çalıyor.

Ayrıca 2FA, kripto cüzdanları ve şifre yöneticileri tarafından depolanan verileri de hedefler. Tüm uzantı türleri Meduza’ya karşı savunmasızdır. Hedefleyebileceği ve hedefleyemeyeceği ülkelerin listesine göz atın:

  • Rusya
  • Kazakistan
  • Belarus
  • Gürcistan
  • Türkmenistan
  • Özbekistan
  • Ermenistan
  • Kırgızistan
  • Moldova
  • Tacikistan

Meduza’yı Sıradışı Kılan Nedir?

Araştırmacılar, diğer yaygın kötü amaçlı yazılımların aksine, Meduza’nın ikili programı gizleme teknikleri kullanmadığından, onu neredeyse algılanamaz hale getirdiğinden, “kurnazca” bir operasyonel tasarıma sahip olduğunu belirttiler. Kötü amaçlı yazılım yöneticisi, Meduza kötü amaçlı yazılımına yönelik ilgi ve güven oluşturmak için son derece gelişmiş pazarlama taktikleri kullandı.

“Güven kazanmak için hesaplı bir hareketle, sektörün en saygın antivirüs yazılımlarından bazılarını kullanarak Meduza hırsız dosyasının statik ve dinamik taramalarını başlattılar. Araştırmacılar, 30 Haziran 2023’te yayınlanan raporda, daha sonra bu güçlü kötü amaçlı yazılımın bu üst düzey antivirüs çözümlerinin tespitinden kaçabileceğini gösteren ekran görüntüleri paylaşıldı.

Bu kötü amaçlı yazılım, farklı siber suç forumlarında ve Telegram kanallarında şiddetle pazarlanıyor. Çoğu virüsten koruma yazılımı ikilisini dinamik ve statik olarak algılayamaz, bu da durumu güvenlik araştırmacıları için çok daha sorunlu hale getirir. Meduza için fiyatlandırma modeli oyunun kurallarını gerçekten değiştiriyor.

Yönetici, rekabetçi fiyatlarla (aylık 199$, 3 aylık abonelik için 399$ ve ömür boyu lisans için 1.199$) 1 aylık, 3 aylık ve ömür boyu erişim planları gibi çok sayıda abonelik paketi sunar.

Yeni Meduza Kötü Amaçlı Yazılımı Windows'ta Cüzdanları, Parolaları ve Tarayıcıları Hedefliyor
Kötü şöhretli Rus siber suç ve hacker forumu XSS.IS’de (Solda) Meduza kötü amaçlı yazılımının reklamı yapılıyor – Kötü amaçlı yazılımın AV’den kaçma yetenekleriyle övünen Meduza yazarı. (Resimler: Hackread.com)

Ayrıca, çalınan veriler kullanıcı dostu bir web panelinde mevcuttur. Aboneler, özelleştirilmiş ikili dosyalar oluşturabilir ve IP adresleri, coğrafi veriler, saklanan tanımlama bilgileri, cüzdanlar, parolalar ve işletim sistemi yapı adları dahil olmak üzere hassas verilere doğrudan panelden erişebilir, bunları indirebilir ve silebilir.

Meduza Veri Çalma Yetenekleri

Kötü amaçlı yazılım, makineye bulaştıktan sonra, coğrafi konum verilerini önceden tanımlanmış bir hariç tutulan ülkeler listesine göre tarar ve bir eşleşme bulunursa işlemleri iptal eder. Meduza kötü amaçlı yazılımı, eşleşmezse operatörünün C2 sunucusuna bağlanır. Yalnızca bağlantı kurulduktan sonra veri çalmaya başlar. GetUserName, GetComputerName, GetCurrentHWProfile ve EnumDisplayDevices gibi çeşitli Windows API’lerinden veri çalar.

Ayrıca sistem oluşturma CPU bilgisayar ayrıntılarını, yürütme yolunu, coğrafi konumu, işletim sistemini, RAM’i, donanım kimliklerini, GPU’yu, Zaman Dilimi, ekran görüntüsü çözünürlüğünü, kullanıcı adını vb. , muhtemelen kapsamlı finansal ve kişisel veriler elde etmek için.

Meduza önceden tanımlanmış bir tarayıcı listesiyle gelir ve tanımlama bilgileri, geçmiş, web verileri, hesaplar için oturum açma verileri ve yerel durum gibi tarayıcıyla ilgili verileri almak için Kullanıcı Verileri klasörünü kontrol eder. Ayrıca şu Windows Kayıt Defteri yollarından Telegram Desktop uygulama verilerini çalar:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53F49750-6209-4FBF-9CA8-7A333C87D1ED}_is1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C4A4AE8F-B9F7-4CC7-8A6C-BF7EEE87ACA5}_is1

Daha da kötüsü, Meduza kötü amaçlı yazılımı aynı zamanda 19 parola yöneticisinden, istemcileri, Discord’u, 95 web tarayıcısını ve 76 kripto para birimi cüzdan uzantısını çalarak veri toplayabilir.

Korunmaya devam etmek için işletim sistemini, tarayıcıları ve yüklü uygulamaları güncel tutmalısınız, böylece güvenlik açıkları zamanla yamalanır ve daha güçlü parolalar kullanılır.

  1. Legion SMS Hijacking Kötü Amaçlı Yazılımı Telegram’da Satıldı
  2. Dark Web’de Satılan 100.000 Hacklenmiş ChatGPT Hesabı
  3. Bilgisayar korsanları Telegram’da i2VPN Yönetici Kimlik Bilgilerini Sızdırıyor
  4. Hacker’lar Dark Web’de Yeni Bilgi Hırsızı Kötü Amaçlı Yazılım Reklamı Yapıyor



Source link