Devam eden bir kötü amaçlı yazılım kampanyası, YouTube ve Facebook kullanıcılarını hedef alarak bilgisayarlarına, sosyal medya hesaplarını ele geçirecek ve cihazlarını kripto para madenciliği yapmak için kullanacak yeni bir bilgi hırsızı bulaştırıyor.
Bitdefender’ın Gelişmiş Tehdit Kontrolü (ATC) ekibindeki güvenlik araştırmacıları, yeni kötü amaçlı yazılımı keşfettiler ve kaçma tespiti için kapsamlı DLL yandan yükleme kullanımı nedeniyle ona S1deload Stealer adını verdiler.
Bitdefender araştırmacısı Dávid Ács, “Temmuz ve Aralık 2022 arasında, Bitdefender ürünleri bu kötü amaçlı yazılımın bulaştığı 600’den fazla benzersiz kullanıcı tespit etti.” dedi.
Kurbanlar, sosyal mühendislik ve Facebook sayfalarındaki yetişkinlere uygun temalar içeren (ör. AlbumGirlSexy.zip, HDSexyGirl.zip, SexyGirlAlbum.zip ve daha fazlası) yorumlar göndererek kendilerine virüs bulaştırmaları için kandırılıyor.
Kullanıcı bağlantılı arşivlerden birini indirirse, bunun yerine geçerli bir Western Digital dijital imzası ve son yükü içeren kötü amaçlı bir DLL (WDSync.dll) ile imzalanmış bir yürütülebilir dosya alır.
Kurbanların cihazlarına yüklendikten sonra S1deload Stealer, operatörleri tarafından komuta ve kontrol (C2) sunucusuna bağlandıktan sonra çeşitli görevlerden birini gerçekleştirme talimatı alabilir.
Bitdefender’ın keşfettiği gibi, arka planda çalışan ve YouTube videoları ve Facebook gönderilerindeki görüntüleme sayılarını yapay olarak artırmak için insan davranışını taklit eden başsız bir Chrome web tarayıcısı da dahil olmak üzere ek bileşenleri indirebilir ve çalıştırabilir.
Diğer sistemlerde, kurbanın tarayıcısından ve Login Data SQLite veritabanından kayıtlı kimlik bilgilerinin ve çerezlerin şifresini çözen ve sızdıran bir hırsız veya BEAM kripto para madenciliği yapacak bir kripto hırsızı da konuşlandırabilir.
Kötü amaçlı yazılım, bir Facebook hesabını çalmayı başarırsa, kurbanın bir Facebook sayfasının veya grubunun yöneticisi olup olmadığını, reklamlar için ödeme yapıp yapmadığını veya bağlantılı olup olmadığını öğrenmek için Facebook Graph API’sinden yararlanarak gerçek değerini de tahmin etmeye çalışır. bir işletme yöneticisi hesabına.
Ács, “Vahşi ortamda gözlemlediğimiz hırsız bileşeni, kurbanın tarayıcısından kaydedilen kimlik bilgilerini çalarak kötü amaçlı yazılım yazarının sunucusuna sızdırıyor” diye ekledi.
“Kötü amaçlı yazılım yazarı, yeni elde edilen kimlik bilgilerini sosyal medyada spam yapmak ve daha fazla makineye bulaşmak için kullanarak bir geri bildirim döngüsü oluşturuyor.”
Virüs bulaşmasını ve sosyal medya hesaplarınızın ele geçirilmesini önlemek için, bilinmeyen kaynaklardan yürütülebilir dosyaları asla çalıştırmamalı ve kötü amaçlı yazılımdan koruma yazılımınızı her zaman güncel tutmalısınız.
Bu kötü amaçlı yazılım kampanyasıyla bağlantılı uzlaşma göstergeleri (IOC’ler) ve YARA kuralları, Bitdefender teknik incelemesinin (PDF) sonunda mevcuttur.
Tehdit istihbaratı şirketi SEKOIA, Stealc olarak bilinen ve kullanımı kolay bir yönetim paneli ve kapsamlı veri çalma yeteneklerine sahip olduğu için karanlık ağda ve bilgisayar korsanlığı forumlarında reklamı yapılan yeni bir bilgi hırsızı türünü de tespit etti.
S1deload Stealer’dan farklı olarak, Stealc kötü amaçlı yazılımı, Vidar, Redline, Raccoon ve Mars gibi diğer bilgi hırsızlarını zorlamak için de kullanılan oldukça popüler bir taktik olan sahte crackli yazılım aracılığıyla dağıtılır.