Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı

Morphisec araştırmacısı Shmuel Uzan, bugün yayınlanan yeni bir raporda, "Bu saldırılar, öğrenci oyun topluluğu içindeki Lua oyun motoru takviyelerinin popülaritesinden yararlanıyor" dedi ve ekledi: "Bu kötü amaçlı yazılım türü Kuzey Amerika, Güney Amerika, Avrupa, Asya ve hatta Avustralya'da oldukça yaygın."

Kampanyayla ilgili ayrıntılar ilk olarak Mart 2024'te OALabs tarafından belgelendi ve kullanıcılar, kötü amaçlı yükleri hazırlamak için GitHub'daki bir tuhaflıktan yararlanarak Lua'da yazılmış bir kötü amaçlı yazılım yükleyicisini indirmeye ikna edildi.

McAfee Labs, sonraki bir analizde, tehdit aktörlerinin kötü amaçlı yazılım içeren ZIP arşivlerini meşru Microsoft depolarında barındırarak RedLine bilgi hırsızının bir çeşidini sunmak için aynı tekniği kullanmasını ayrıntılı olarak açıkladı.

GitHub, o sırada yaptığı açıklamada, "GitHub'ın yasa dışı aktif saldırıyı veya teknik zararlara neden olan kötü amaçlı yazılım kampanyalarını doğrudan destekleyen içerik yayınlamayı yasaklayan Kabul Edilebilir Kullanım Politikalarına uygun olarak kullanıcı hesaplarını ve içeriğini devre dışı bıraktık" dedi.

"GitHub'ın ve kullanıcılarımızın güvenliğini artırmaya yatırım yapmaya devam ediyoruz ve bu faaliyete karşı daha iyi koruma sağlamak için önlemler arıyoruz."

Morphisec'in etkinlik analizi, kötü amaçlı yazılım dağıtım mekanizmasında bir değişiklik olduğunu ortaya çıkardı, bu da muhtemelen radarın altında uçma çabası olan bir basitleştirme.

Uzan, "Kötü amaçlı yazılım, derlenmiş Lua bayt kodu yerine sıklıkla gizlenmiş Lua komut dosyaları kullanılarak teslim edilir, çünkü ikincisi şüpheyi daha kolay tetikleyebilir" dedi.

Bununla birlikte, Google'da Solara ve Electron gibi popüler hile komut dosyası motorlarını arayan kullanıcılara, çeşitli GitHub depolarında bubi tuzaklı ZIP arşivlerine bağlantılar yerleştiren sahte web siteleri sunulduğu için genel enfeksiyon zinciri değişmeden kalır.

ZIP arşivi dört bileşenle birlikte gelir: Bir Lua derleyicisi, bir Lua çalışma zamanı yorumlayıcı DLL ("lua51.dll"), gizlenmiş bir Lua komut dosyası ve sonuncusu Lua derleyicisini kullanarak Lua komut dosyasını yürütmek için kullanılan bir toplu iş dosyası ("launcher.bat").

Bir sonraki aşamada, yükleyici – yani kötü amaçlı Lua komut dosyası – bir komuta ve kontrol (C2) sunucusuyla iletişim kurar ve virüslü sistemle ilgili ayrıntıları gönderir. Sunucu, yanıt olarak, kalıcılığı korumaktan veya işlemleri gizlemekten ya da Redone Stealer veya CypherIT Loader gibi yeni yükleri indirmekten sorumlu olan görevler yayınlar.

Uzan, "Bu saldırılardan elde edilen kimlik bilgileri, saldırının sonraki aşamalarında kullanılmak üzere daha sofistike gruplara satıldıkça, bilgi hırsızları manzarada öne çıkıyor" dedi. "RedLine, özellikle Dark web'de bu toplanan kimlik bilgilerini satan büyük bir pazara sahip."

Açıklama, Kaspersky'nin Yandex'de popüler yazılımların korsan sürümlerini arayan kullanıcıların, SilentCryptoMiner adlı açık kaynaklı bir kripto para madencisini AutoIt tarafından derlenmiş bir ikili implant aracılığıyla dağıtmak için tasarlanmış bir kampanyanın parçası olarak hedef alındığını bildirmesinden günler sonra geldi.

Saldırıların çoğu Rusya'daki kullanıcıları hedef alırken, onu Belarus, Hindistan, Özbekistan, Kazakistan, Almanya, Cezayir, Çek Cumhuriyeti, Mozambik ve Türkiye izledi.

Şirket geçen hafta yayınladığı bir raporda, "Kötü amaçlı yazılımlar ayrıca kripto yatırımcılarını hedef alan Telegram kanalları aracılığıyla ve kripto para birimi, hileler ve kumarla ilgili YouTube videolarındaki açıklamalar ve yorumlarda dağıtıldı" dedi.

"Saldırganların asıl amacı gizlice kripto para madenciliği yaparak kar elde etmek olsa da, kötü amaçlı yazılımın bazı varyantları, panodaki kripto para cüzdanlarını değiştirmek ve ekran görüntüsü almak gibi ek kötü amaçlı etkinlikler gerçekleştirebilir."

Son Durum

Rus siber güvenlik şirketi Doctor Web, SilentCryptoMiner ve clipper kötü amaçlı yazılımları sunmak için sahte Microsoft Excel yazılımı, oyun hileleri ve çevrimiçi ticaret botları kullanan büyük ölçekli bir kampanyaya ışık tuttu ve Kaspersky'nin bulgularını doğruladı.

Etkinlik, Rusya, Beyaz Rusya, Özbekistan, Kazakistan, Ukrayna, Kırgızistan ve Türkiye'den en az 28.000 kişiyi etkiledi ve düşmana yalnızca kesme makinesini kullanarak 6.000 doların üzerinde kripto para birimi kazandırdı.

Doctor Web, 8 Ekim 2024'te yayınlanan bir raporda, "Enfeksiyonun kaynağı, saldırganlar tarafından GitHub'da oluşturulan sahte sayfalar (bu tür etkinliklerin platform kuralları tarafından yasaklandığını unutmayın) veya videonun altındaki açıklamada kötü amaçlı yazılım bağlantıları içeren YouTube sayfalarıdır" dedi.

Bağlantılara tıklayan kullanıcılara, madenci ("deviceId.dll") ve kesme amaçlı yazılımı ("7zxa.dll") yüklerinin konuşlandırılmasının önünü açan, kendi kendine açılan, parola korumalı bir arşiv sunulur.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği