Vietnamlı Hackerlar, Hintli Pazarlamacıları Hedef Almak İçin Yeni Delphi Destekli Kötü Amaçlı Yazılım Kullanıyor

Kaspersky, geçen hafta yayınlanan bir raporda, "Onu diğerlerinden ayıran önemli bir özellik, .NET uygulamalarına dayanan önceki kampanyaların aksine, bu kampanyanın programlama dili olarak Delphi'yi kullanmasıdır" dedi.

Ducktail, Duckport ve NodeStealer ile birlikte, Vietnam dışında faaliyet gösteren bir siber suç ekosisteminin parçasıdır ve saldırganlar, kötü amaçlı reklamları yaymak ve kurbanların giriş çerezlerini yağmalayabilen ve nihayetinde hesaplarının kontrolünü ele geçirebilen kötü amaçlı yazılımları dağıtmak için öncelikle Facebook'ta sponsorlu reklamları kullanır.

Bu tür saldırılar öncelikle bir Facebook Business hesabına erişimi olabilecek kullanıcıları ayırır. Dolandırıcılar daha sonra yetkisiz erişimi finansal kazanç için reklam yerleştirmek için kullanır ve enfeksiyonları daha da sürdürür.

Rus siber güvenlik firması tarafından belgelenen kampanyada, kariyer değişikliği arayan potansiyel hedeflere, ikiliyi başlatmaları için kandırmak için bir PDF simgesiyle gizlenmiş kötü amaçlı bir yürütülebilir dosya içeren arşiv dosyaları gönderiliyor.

Bunu yapmak, kötü amaçlı dosyanın param.ps1 adlı bir PowerShell betiğini ve yanıltıcı bir PDF belgesini yerel olarak Windows'taki "C:\Users\Public" klasörüne kaydetmesine neden olur.

Kaspersky, "Komut dosyası, tuzağı açmak için cihazdaki varsayılan PDF görüntüleyiciyi kullanıyor, beş dakika duraklıyor ve ardından Chrome tarayıcı işlemini sonlandırıyor" dedi.

Üst yürütülebilir dosya ayrıca, Chromium tabanlı bir web tarayıcısına herhangi bir kısayol (yani, LNK dosyası) için "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" ve "C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\" klasörlerini tarayan libEGL.dll adlı sahte bir kitaplığı indirir ve başlatır.

Bir sonraki aşama, radarın altında uçmak için meşru Google Dokümanlar Çevrimdışı eklentisi gibi görünen sahte bir uzantı başlatmak için bir "--load-extension" komut satırı anahtarı ekleyerek tarayıcının LNK kısayol dosyasını değiştirmeyi gerektirir.

Uzantı, kendi adına, tüm açık sekmeler hakkında Vietnam'da kayıtlı aktör kontrolündeki bir sunucuya bilgi göndermek ve Facebook işletme hesaplarını ele geçirmek için tasarlanmıştır.

Google, Kötü Amaçlı Yazılım Yaymak İçin Bard Lures Kullanan Dolandırıcılara Dava Açtı

Bulgular, Ducktail'in saldırı tekniklerinde stratejik bir değişimin altını çiziyor ve Google'ın, Facebook üzerinden kötü amaçlı yazılım yaymak ve sosyal medya oturum açma kimlik bilgilerini çalmak için halkın Bard gibi üretken yapay zeka araçlarına olan ilgisinden yararlandıkları için Hindistan ve Vietnam'daki üç bilinmeyen kişiye dava açmasıyla geldi.

Şirket şikayetinde, "Sanıklar, her biri Bard veya diğer Google AI ürünlerinin indirilebilir sürümlerini sunduğunu iddia eden sosyal medya gönderileri, reklamlar (yani sponsorlu gönderiler) ve sayfalar aracılığıyla kötü amaçlı yazılımlarına bağlantılar dağıtıyor" iddiasında bulundu.

"Bir sosyal medya hesabına giriş yapan bir kullanıcı, Davalıların reklamlarında veya sayfalarında görüntülenen bağlantılara tıkladığında, bağlantılar, bir dosya türü olan RAR arşivinin kullanıcının bilgisayarına indirildiği harici bir web sitesine yönlendirilir."

Arşiv dosyaları, kurbanların sosyal medya hesaplarını çalmakta usta bir tarayıcı uzantısı yükleyebilen bir yükleyici dosyası içerir.

Bu Mayıs ayının başlarında Meta, tehdit aktörlerinin ChatGPT ile ilgili araçlar sunduğunu iddia eden resmi web mağazalarında bulunan aldatıcı tarayıcı uzantıları oluşturduğunu gözlemlediğini ve hizmetlerinde 1.000'den fazla benzersiz URL'nin paylaşılmasını tespit ettiğini ve engellediğini söyledi.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği