Yeni Rugmi Kötü Amaçlı Yazılım Yükleyicisi Günlük Yüzlerce Tespitle Artıyor


28 Aralık 2023Haber odasıKötü Amaçlı Yazılım / Siber Tehdit

Rugmi Kötü Amaçlı Yazılım Yükleyici

Yeni bir kötü amaçlı yazılım yükleyici, tehdit aktörleri tarafından Lumma Stealer (diğer adıyla LummaC2), Vidar, RecordBreaker (diğer adıyla Raccoon Stealer V2) ve Rescoms gibi çok çeşitli bilgi hırsızlarını sunmak için kullanılıyor.

Siber güvenlik firması ESET, trojan’ı bu isim altında takip ediyor Win/TrojanDownloader.Rugmi.

Şirket, “Bu kötü amaçlı yazılım üç tür bileşene sahip bir yükleyicidir: şifrelenmiş bir veriyi indiren bir indirici, bu yükü dahili kaynaklardan çalıştıran bir yükleyici ve veriyi diskteki harici bir dosyadan çalıştıran bir başka yükleyici.” Tehdit Raporu H2 2023.

Şirket tarafından toplanan telemetri verileri, Rugmi yükleyiciye yönelik tespitlerin Ekim ve Kasım 2023’te artış gösterdiğini ve günlük tek haneli rakamlardan günde yüzlerce sayıya yükseldiğini gösteriyor.

YAKLAŞAN WEBİNAR

KULLANICIDAN YÖNETİCİYE: Bilgisayar Korsanlarının Tam Kontrolü Nasıl Kazandığını Öğrenin

Bilgisayar korsanlarının yönetici olmak için kullandıkları gizli taktikleri, çok geç olmadan bunu nasıl tespit edip engelleyeceğinizi keşfedin. Bugün web seminerimize kaydolun.

Şimdi Katıl

Hırsız kötü amaçlı yazılımlar genellikle hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında diğer tehdit aktörlerine abonelik temelinde satılır. Örneğin Lumma Stealer’ın yeraltı forumlarında ayda 250 dolara reklamı yapılıyor. En pahalı planın maliyeti 20.000 dolardır, ancak aynı zamanda müşterilere kaynak koduna erişim ve onu satma hakkı da verir.

Mars, Arkei ve Vidar hırsızlarıyla ilişkili kod tabanının Lumma’yı yaratmak için yeniden tasarlandığını gösteren kanıtlar var.

Kullanıma hazır araç, tespitten kaçınmak için taktiklerini sürekli olarak uyarlamanın yanı sıra, kötü amaçlı reklamcılıktan sahte tarayıcı güncellemelerine, VLC medya oynatıcısı ve OpenAI ChatGPT gibi popüler yazılımların kırık kurulumlarına kadar çeşitli yöntemlerle dağıtılıyor.

Diğer bir teknik, Trend Micro’nun Ekim 2023’te ortaya çıkardığı gibi, kötü amaçlı yazılımı barındırmak ve yaymak için Discord’un içerik dağıtım ağının (CDN) kullanılmasıyla ilgilidir.

Bu, potansiyel hedeflere doğrudan mesajlar göndermek için rastgele ve ele geçirilmiş Discord hesaplarının bir kombinasyonundan yararlanılmasını ve onlara bir projedeki yardımları karşılığında 10 ABD doları veya Discord Nitro aboneliği teklif edilmesini gerektirir.

Teklifi kabul eden kullanıcılardan daha sonra Discord CDN’de barındırılan ve iMagic Envanteri gibi görünen ancak gerçekte Lumma Stealer yükünü içeren yürütülebilir bir dosyayı indirmeleri istenir.

ESET, “Hazır kötü amaçlı yazılım çözümleri, kötü amaçlı kampanyaların çoğalmasına katkıda bulunuyor çünkü kötü amaçlı yazılımları potansiyel olarak teknik açıdan daha az yetenekli tehdit aktörlerinin kullanımına sunuyor.” dedi.

Siber güvenlik

“Daha geniş bir işlev yelpazesi sunmak, Lumma Stealer’ı bir ürün olarak daha da çekici kılmaya hizmet ediyor.”

Açıklamalar, McAfee Labs’in, meşru atası NetSupport Manager’dan ortaya çıkan ve o zamandan bu yana ilk erişim aracıları tarafından bilgi toplamak ve ilgili mağdurlara yönelik ek eylemler gerçekleştirmek için kullanılmaya başlanan yeni bir NetSupport RAT çeşidini açıkladığı dönemde geldi.

McAfee, “Enfeksiyon, kötü amaçlı yazılımın ilk giriş noktası olarak hizmet veren, gizlenmiş JavaScript dosyalarıyla başlıyor” dedi ve bunun “siber suçlular tarafından kullanılan gelişen taktikleri” vurguladığını da sözlerine ekledi.

JavaScript dosyasının yürütülmesi, aktör kontrollü bir sunucudan uzaktan kumanda ve hırsız kötü amaçlı yazılımları almak için PowerShell komutlarını çalıştırarak saldırı zincirini ilerletir. Kampanyanın öncelikli hedefleri arasında ABD ve Kanada yer alıyor.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link