Yeni Jupyter Infostealer Sürümü, Gelişmiş Gizli Taktiklerle Ortaya Çıkıyor
Jupyter olarak bilinen bir bilgi hırsızı kötü amaçlı yazılımının güncellenmiş bir sürümü, güvenliği ihlal edilmiş sistemlerde gizlice kalıcı bir dayanak oluşturmayı amaçlayan "basit ama etkili değişikliklerle" yeniden ortaya çıktı.
VMware Carbon Black araştırmacıları, paylaşılan bir raporda, "Ekip, kötü amaçlı yazılımı yasal olarak imzalanmış bir dosya olarak gösterme girişimlerinde PowerShell komut değişikliklerinden ve özel anahtarların imzalarından yararlanan yeni Jupyter Infostealer saldırı dalgaları keşfetti" dedi.
Polazert, SolarMarker ve Yellow Cockatoo olarak da bilinen Jupyter Infostealer, popüler yazılım arayan kullanıcıları şüpheli web sitelerinden indirmeleri için kandırmak için manipüle edilmiş arama motoru optimizasyonu (SEO) taktiklerinden yararlanma ve ilk erişim vektörü olarak kötü amaçlı reklam yapma konusunda bir geçmişe sahiptir.
Kimlik bilgilerini toplamanın yanı sıra verileri sızdırmak ve rastgele komutları yürütmek için şifreli komut ve kontrol (C2) iletişimi kurma yetenekleriyle birlikte gelir.
En son yapıt seti, kötü amaçlı yazılımı imzalamak için çeşitli sertifikalar kullanır ve onlara bir meşruiyet kaplaması verir, yalnızca sahte yükleyicilerin başlatıldıktan sonra enfeksiyon zincirini etkinleştirmesi için.
Yükleyiciler, uzak bir sunucuya bağlanmak ve nihayetinde hırsız kötü amaçlı yazılımının kodunu çözmek ve başlatmak için PowerShell'i kullanan geçici bir yükü çağırmak üzere tasarlanmıştır.
Gelişme, yeraltındaki siber suçlarda satışa sunulan hırsız kötü amaçlı yazılımların yeni taktikler ve tekniklerle gelişmeye devam etmesi ve daha az vasıflı aktörler için giriş engelini etkili bir şekilde azaltmasıyla ortaya çıkıyor.
Bu, artık bir yükleyici ve gelişmiş gizleme için rastgele bir yapı oluşturma yeteneği içeren Lumma Stealer'a yönelik bir güncellemeyi içerir.
VMware, "Bu, kötü amaçlı yazılımı hırsız bir tür olmaktan, kurbanlarına ikinci aşama saldırılar yükleyebilen daha sinsi bir kötü amaçlı yazılıma dönüştürüyor" dedi. "Yükleyici, tehdit aktörünün saldırısını veri hırsızlığından kurbanlarına fidye yazılımı bulaştırmaya kadar her şeye yükseltmesi için bir yol sağlıyor."
Sürekli iyileştirmeler alan bir başka hırsız kötü amaçlı yazılım ailesi, bilgi çalma yeteneklerini tamamlamak için son sürümlerde bir yükleyici işlevi de ekleyen Mystic Stealer'dır.
Zscaler, geçen ayın sonlarında yayınlanan bir raporda, "Kod, veri hırsızlığı yeteneklerini geliştirmeye ve genişletmeye devam ediyor ve ağ iletişimi, özel bir ikili TCP tabanlı protokolden HTTP tabanlı bir protokole güncellendi" dedi.
"Yeni değişiklikler, RedLine, DarkGate ve GCleaner dahil olmak üzere ek kötü amaçlı yazılım ailelerini dağıtmak için yükleyici işlevinden yararlanan suç tehdidi aktörleri arasında popülerliğin artmasına neden oldu."
Bu tür kötü amaçlı yazılımların sürekli gelişen doğası, veri hırsızlığını kolaylaştırmak için çeşitli özelliklerle donatılmış Akira Stealer ve Millenium RAT gibi hırsızların ve uzaktan erişim truva atlarının ortaya çıkmasıyla daha da örneklenmektedir.
Açıklama ayrıca, PrivateLoader ve Amadey gibi kötü amaçlı yazılım yükleyicilerinin, 5'dan beri var olan Socks2016Systemz adlı bir proxy botnet'i ile binlerce cihaza bulaştırdığı gözlemlendi.
Geçen hafta hizmetin ayrıntılarını açıklayan siber güvenlik firması Bitsight, Fransa, Bulgaristan, Hollanda ve İsveç'te dağıtılan botnet ile ilgili en az 53 sunucu tespit ettiğini söyledi.
Kampanyanın nihai amacı, virüslü makineleri, ek bir anonimlik katmanı olarak meşru veya başka türlü diğer aktörler için trafiği iletebilen proxy'lere dönüştürmektir. Ülkede enfeksiyon eksikliği göz önüne alındığında, tehdit aktörlerinin Rus kökenli olduğundan şüpheleniliyor.
Bitsight, "Proxy hizmeti, müşterilerin 1 ABD Doları ile 4.000 ABD Doları arasında değişen ve tamamı kripto para birimi kullanılarak ödenebilecek bir abonelik seçmelerine olanak tanıyor" dedi. "Ağ telemetri analizine dayanarak, bu botnet'in dünyanın dört bir yanına yayılmış kurbanları olan yaklaşık 10.000 virüslü sisteme sahip olduğu tahmin ediliyor."
Benzer Haberler
DigiCert, Alan Adı Doğrulama Gözetimi Nedeniyle 83,000+ SSL Sertifikasını İptal Edecek
Sahibinden.com alan adını yenilemeyi mi unuttu?
Toyota Almanya, Fidye Yazılımı Saldırısında Müşteri Verilerinin Çalındığını Söyledi
Yeni Bluetooth Kusuru, Bilgisayar Korsanlarının Android, Linux, macOS ve iOS Cihazlarını Ele Geçirmesine İzin Veriyor
Microsoft, Büyük Güvenlik Sarsıntısında Yeni CISO'yu İşe Aldı
K. Koreli Bilgisayar Korsanları, Tespit Edilmekten Kaçınmak için macOS Kötü Amaçlı Yazılım Taktiklerini 'Karıştırıyor'
Biden CISO Arıyor
SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor