Bir bilgi hırsızı olan LummaC, Rusça konuşulan forumlarda Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) yaklaşımıyla yayılıyor. Etkilenen cihazlardan alınan hassas verilerin bu kötü amaçlı yazılım tarafından çalınması amaçlanmaktadır.
Kripto para cüzdanları, tarayıcı eklentileri, iki faktörlü kimlik doğrulama bilgileri ve çok sayıda dosya, hedeflenen verilerden bazılarıdır.
Son zamanlarda, Cyble Research & Intelligence Labs (CRIL), SectopRAT’ı yaymak için son teknoloji bir strateji keşfetti.
SectopRAT bir . NET tabanlı uzaktan erişim kötü amaçlı yazılımı. Tarayıcı verilerini ve kripto para cüzdanı ayrıntılarını çalmak da dahil olmak üzere çok çeşitli yeteneklere sahiptir.
Bu yöntem, Amadey bot kötü amaçlı yazılımının LummaC hırsızından alınmasını ve SectopRAT yükünü teslim etmek için kullanılmasını içerir.
Saldırı Zinciri
LummaC Stealer, çoğunlukla hedef odaklı kimlik avı e-postaları ve meşru yazılım sağlayıcıları gibi görünen kimlik avı web siteleri kullanılarak yayıldı.
Geçmişte, LummaC hırsızı, sahte satış yapanlar gibi dolandırıcı web siteleri aracılığıyla yayıldı. Microsoft Sysinternals Paketi. Spear-phishing e-postaları, YouTuber’ları da hedeflemek için kullanıldı. Yasadışı yazılım çatlakları gibi davranarak daha da yayıldı.
Araştırmacılar, vahşi doğada LummaC hırsızı kötü amaçlı yazılımını içeriyor gibi görünen ZIP dosyalarına rastlar. Bunları yazılım kurulum dosyaları gibi gösteren bir YouTube kampanyası aracılığıyla bu dosyalar dolaşıma giriyor.
Bu dosyalar, kullanıcıları içeri çekmek ve taşıdıkları kötü amaçlı yazılımı çalıştırmaları için yanıltmak üzere etiketlenmiş gibi görünüyor.
TA’ların bilgileri, LummaC2’nin yüksek başarı oranına sahip yeni nesil bir hırsız olduğunu gösteriyor. Özellikle, temiz sistemlere herhangi bir bağımlılık olmadan verimli bir şekilde çalışır.
Temel bileşenlerinden biri, sunucu tabanlı günlük şifre çözmedir. LummaC2’nin Chromium ve Mozilla’dan türetilen tarayıcılardan veri hırsızlığı konusundaki uzmanlığına yaklaşık 70 tarayıcı tabanlı kripto para birimi ve 2FA eklentisi dahildir.
2018 yılında “Amadey Bot” olarak bilinen kötü amaçlı yazılım ailesi keşfedildi. Virüs bulaşmış sistemleri araştırmak, bilgi toplamak ve daha fazla kötü amaçlı yük yüklemek gibi eylemler gerçekleştirebilir.
TA’lar tarafından, Kusurlu Ammyy Uzaktan Erişim Truva Atı (RAT) ve GrandCrab fidye yazılımı gibi çeşitli kötü amaçlı yazılım türlerini tanıtmak için kullanıldı.
SectopRAT Tarayıcı Şifrelerini, 2FA Kodlarını Çalıyor
Arechclient olarak da bilinen Uzaktan Erişim Truva Atı (RAT) SectopRAT, .NET derleyicisi kullanılarak oluşturuldu. Tarayıcı bilgilerini ve Bitcoin cüzdan bilgilerini çalmak gibi çok çeşitli işlevler sunar.
Tarayıcı oturumlarını yönetmek ve izlemek için kullandığı gizli bir ikincil masaüstü oluşturabilir.
SectopRAT, kötü amaçlı yazılım analizini daha zor hale getirmek için tasarlanmış Anti-VM ve Anti-Emulator tekniklerine sahiptir.
“Kötü amaçlı yazılım, hedef sistemin dizinlerini taramaya başlar. Araştırmacılar, “Çerezler”, “Yerel Durum”, “Giriş Verileri” ve “Web Verileri” gibi dosyalardan hassas verileri almayı amaçlıyor.
“Bu dosyalar, güvenliği ihlal edilmiş sisteme yüklenmiş 35’in üzerinde web tarayıcısı, oyun platformu ve diğer yazılım uygulamalarından oluşan çeşitli bir diziden elde edilmiştir”.
Kötü amaçlı yazılım, kripto para cüzdanlarına erişebileceği belirli klasörlere ek olarak kripto para cüzdanı tarayıcı uzantılarından bilgi çıkarabilir.
Bu nedenle, LummaC-Amadey-SectopRAT ittifakının tanımlanmasıyla yeni bir siber tehdit karmaşıklığı seviyesi ortaya çıktı. Bu planlı saldırı zinciri, bilgisayar korsanlarının stratejilerini veri toplamadan yük dağıtımına kadar nasıl geliştirdiğini gösteriyor.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.