Rus bilgisayar korsanları DanaBot'u yaymak ve kötü amaçlı yazılımları çalmak için sahte marka siteleri kullanıyor
Siber güvenlik araştırmacıları, DanaBot ve StealC gibi kötü amaçlı yazılımları dağıtmak için meşru markaların kimliğine bürünen karmaşık bir bilgi hırsızı kampanyasına ışık tuttu.
Rusça konuşan siber suçlular tarafından düzenlenen ve topluca kod adı Tusk olan etkinlik kümesinin, kullanıcıları sahte siteler ve sosyal medya hesapları kullanarak kötü amaçlı yazılımları indirmeleri için kandırmak için platformların itibarından yararlanan birkaç alt kampanyayı kapsadığı söyleniyor.
Kaspersky araştırmacıları Elsayed Elrefaei ve AbdulRhman Alfaifi, "Tüm aktif alt kampanyalar, Dropbox'ta ilk indiriciyi barındırıyor" dedi. "Bu indirici, kurbanın makinesine çoğunlukla bilgi hırsızları (DanaBot ve StealC) ve makasçılar olan ek kötü amaçlı yazılım örnekleri göndermekten sorumludur."
Bugüne kadar tespit edilen 19 alt kampanyadan üçünün şu anda aktif olduğu söyleniyor. "Tusk" adı, tehdit aktörleri tarafından ilk indiriciyle ilişkili günlük mesajlarında kullanılan "Mamut" kelimesine bir referanstır. Mamutun, Rus e-suç grupları tarafından kurbanlara atıfta bulunmak için sıklıkla kullanılan argo bir terim olduğunu belirtmekte fayda var.
Kampanyalar ayrıca, kurbanları daha sonra karanlık ağda satılan veya oyun hesaplarına ve kripto para cüzdanlarına yetkisiz erişim sağlamak için kullanılan kişisel ve finansal bilgilerini vermeleri için kandırmak için kimlik avı taktikleri kullanmasıyla da dikkat çekiyor.
TidyMe olarak bilinen üç alt kampanyadan ilki, peerme[.] Tidyme'de barındırılan benzer bir siteye sahip IO[.] io (TidymeApp'ın yanı sıra[.] io ve tidyme[.] uygulaması) hem Windows hem de macOS sistemleri için kötü amaçlı bir programın indirilmesini isteyen bir tıklama ister. Yürütülebilir dosya Dropbox'tan sunulur.
İndirici, başlatıldığında, kurbandan görüntülenen CAPTCHA'yı girmesini isteyen, ardından ana uygulama arayüzü görüntülenirken, arka planda iki ek kötü amaçlı dosya gizlice getirilir ve yürütülür.
Kampanyada gözlemlenen her iki yük de Hijack Loader eserleridir ve sonuçta StealC hırsız kötü amaçlı yazılımının çok çeşitli bilgileri toplama yeteneklerine sahip bir varyantını başlatır.
RuneOnlineWorld ("runeonlineworld[.] io"), ikinci alt kampanya, güvenliği ihlal edilmiş ana bilgisayarlarda DanaBot ve StealC'nin önünü açan benzer bir indiriciyi dağıtmak için Rise Online World adlı devasa çok oyunculu çevrimiçi (MMO) bir oyunu simüle eden sahte bir web sitesinin kullanılmasını içeriyor.
Bu kampanyada Hijack Loader aracılığıyla da dağıtılan, pano içeriğini izlemek ve kurban tarafından kopyalanan cüzdan adreslerini hileli işlemler gerçekleştirmek için saldırgan tarafından kontrol edilen bir Bitcoin cüzdanıyla değiştirmek için tasarlanmış Go tabanlı bir kesme amaçlı yazılımıdır.
Aktif kampanyaları tamamlayan, YOUS adlı bir AI çevirmen projesini taklit eden Voico'dur (yous[.] ai) Voico adlı kötü niyetli bir muadili ile[.] IO, kurulumun ardından kurbandan kimlik bilgilerini içeren bir kayıt formu doldurmasını isteyen ve ardından bilgileri konsolda günlüğe kaydeden bir ilk indiriciyi yaymak için.
Son yükler, ikinci alt kampanyanınkine benzer davranışlar sergiler, tek fark, bu durumda kullanılan StealC kötü amaçlı yazılımının farklı bir komut ve kontrol (C2) sunucusuyla iletişim kurmasıdır.
"Kampanyalar [...] Araştırmacılar, kurbanları aldatmak için meşru projeleri taklit etmede usta olan siber suçluların oluşturduğu kalıcı ve gelişen tehdidi gösteriyor" dedi. "Kimlik avı gibi sosyal mühendislik tekniklerine güvenmek, çok aşamalı kötü amaçlı yazılım dağıtım mekanizmalarıyla birleştiğinde, ilgili tehdit aktörlerinin gelişmiş yeteneklerini vurguluyor."
"Bu saldırganlar, kullanıcıların tanınmış platformlara duydukları güvenden yararlanarak, hassas bilgileri çalmak, sistemleri tehlikeye atmak ve nihayetinde finansal kazanç elde etmek için tasarlanmış bir dizi kötü amaçlı yazılımı etkili bir şekilde dağıtıyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi