Siber Muhbir

Palo Alto Networks Unit 42, geçen hafta yayınlanan bir raporda, saldırıların ilk olarak 2019'da gözlemlenen kötü amaçlı yazılımın yeni bir varyantını içerdiğini söyledi.

Kimlik avı e-postaları yoluyla yayılan Mspadu, özellikle Latin Amerika (LATAM) bölgesindeki kurbanlara bulaştığı bilinen Delphi merkezli bir bilgi hırsızıdır. Mart 2023'te Metabase Q, Mispadu spam kampanyalarının Ağustos 2022'den bu yana en az 90.000 banka hesabı kimlik bilgisi topladığını ortaya çıkardı.

Ayrıca, geçen hafta Brezilya kolluk kuvvetleri tarafından dağıtılan Grandoreiro da dahil olmak üzere daha büyük LATAM bankacılık kötü amaçlı yazılım ailesinin bir parçası.

Unit 42 tarafından tanımlanan en son enfeksiyon zinciri, Windows SmartScreen'deki yüksek önem derecesine sahip bir atlama kusuru olan CVE-2023-36025'ten (CVSS puanı: 8.8) yararlanan sahte ZIP arşiv dosyalarında bulunan sahte internet kısayol dosyalarını kullanır. Microsoft tarafından Kasım 2023'te ele alındı.

"Bu istismar, özel olarak hazırlanmış bir internet kısayol dosyasının (. URL) veya SmartScreen'in uyarılarını atlayabilecek kötü amaçlı dosyalara işaret eden bir köprü, "dedi güvenlik araştırmacıları Daniela Shalev ve Josh Grunzweig.

"Bypass basittir ve bir URL yerine bir ağ paylaşımına başvuran bir parametreye dayanır. Hazırlanmış. URL dosyası, kötü amaçlı bir ikili ile bir tehdit aktörünün ağ paylaşımına bir bağlantı içeriyor."

Mispadu, piyasaya sürüldüğünde, kurbanları coğrafi konumlarına (yani Amerika veya Batı Avrupa) ve sistem yapılandırmalarına göre seçici olarak hedefleyerek gerçek renklerini ortaya çıkarır ve ardından takip eden veri hırsızlığı için bir komuta ve kontrol (C2) sunucusuyla iletişim kurmaya devam eder.

Son aylarda, Windows kusuru, virüslü makinelerden hassas verileri çalmak ve daha fazla yük bırakmak için DarkGate ve Phemedrone Stealer kötü amaçlı yazılımı dağıtmak için birden fazla siber suç grubu tarafından vahşi doğada istismar edildi.

Meksika ayrıca, geçtiğimiz yıl boyunca AllaKore RAT, AsyncRAT, Babylon RAT gibi bilgi hırsızlarını ve uzaktan erişim truva atlarını yaydığı tespit edilen çeşitli kampanyalar için en iyi hedef olarak ortaya çıktı. Bu, 2018'den beri Latin Amerika bölgesindeki konaklama ve seyahat sektörlerine saldıran TA558 adlı finansal olarak motive olmuş bir grup oluşturuyor.

Gelişme, Sekoia'nın FIN7 olarak izlenen Rus e-suç grubu tarafından kullanılan, zaman içinde test edilmiş özel bir indirici olan DICELOADER'ın (diğer adıyla Lizar veya Tirion) iç işleyişini detaylandırmasıyla geldi. Kötü amaçlı yazılımın geçmişte kötü amaçlı USB sürücüler (diğer adıyla BadUSB) aracılığıyla teslim edildiği gözlemlendi.

Fransız siber güvenlik firması, C2 IP adreslerini ve ağ iletişimlerini gizlemek için gelişmiş gizleme yöntemlerini dile getirerek, "DICELOADER, izinsiz giriş setinin cephaneliğindeki Carbanak RAT gibi diğer kötü amaçlı yazılımlarla birlikte bir PowerShell komut dosyası tarafından düşürüldü" dedi.

Ayrıca AhnLab'ın, Monero ve Zephyr madenciliği yapan madenci kötü amaçlı yazılımlarını dağıtmak için bubi tuzaklı arşivler ve oyun hack'leri kullanan iki yeni kötü amaçlı kripto para madenciliği kampanyası keşfetmesini takip ediyor.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.