Yeni Rugmi Kötü Amaçlı Yazılım Yükleyici Yüzlerce Günlük Algılamayla Yükseliyor
Tehdit aktörleri tarafından Lumma Stealer (diğer adıyla LummaC2), Vidar, RecordBreaker (diğer adıyla Raccoon Stealer V2) ve Rescoms gibi çok çeşitli bilgi hırsızları sunmak için yeni bir kötü amaçlı yazılım yükleyici kullanılıyor.
Siber güvenlik firması ESET, truva atını Win/TrojanDownloader.Rugmi adı altında izliyor.
Şirket, H2 2023 Tehdit Raporu'nda, "Bu kötü amaçlı yazılım, üç tür bileşene sahip bir yükleyicidir: şifrelenmiş bir yükü indiren bir indirici, yükü dahili kaynaklardan çalıştıran bir yükleyici ve yükü diskteki harici bir dosyadan çalıştıran başka bir yükleyici" dedi.
Şirket tarafından toplanan telemetri verileri, Rugmi yükleyici için tespitlerin Ekim ve Kasım 2023'te arttığını ve tek haneli günlük sayılardan günde yüzlere yükseldiğini gösteriyor.
Stealer kötü amaçlı yazılımları genellikle bir hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında abonelik temelinde diğer tehdit aktörlerine satılır. Örneğin Lumma Stealer, yeraltı forumlarında ayda 250 dolara ilan ediliyor. En pahalı planın maliyeti 20.000 ABD dolarıdır, ancak aynı zamanda müşterilere kaynak koduna erişim ve onu satma hakkı verir.
Mars, Arkei ve Vidar hırsızlarıyla ilişkili kod tabanının Lumma'yı oluşturmak için yeniden tasarlandığını gösteren kanıtlar var.
Kullanıma hazır araç, tespit edilmekten kaçınmak için taktiklerini sürekli olarak uyarlamanın yanı sıra, kötü amaçlı reklamcılıktan sahte tarayıcı güncellemelerine ve VLC media player ve OpenAI ChatGPT gibi popüler yazılımların crackli kurulumlarına kadar çeşitli yöntemlerle dağıtılır.
Başka bir teknik, Trend Micro tarafından Ekim 2023'te açıklandığı gibi, kötü amaçlı yazılımı barındırmak ve yaymak için Discord'un içerik dağıtım ağının (CDN) kullanılmasıyla ilgilidir.
Bu, potansiyel hedeflere doğrudan mesajlar göndermek için rastgele ve güvenliği ihlal edilmiş Discord hesaplarının bir kombinasyonundan yararlanmayı ve bir projedeki yardımları karşılığında onlara 10 $ veya bir Discord Nitro aboneliği teklif etmeyi gerektirir.
Teklifi kabul eden kullanıcılardan daha sonra Discord CDN'de barındırılan ve iMagic Inventory gibi görünen ancak gerçekte Lumma Stealer yükünü içeren yürütülebilir bir dosya indirmeleri istenir.
ESET, "Hazır kötü amaçlı yazılım çözümleri, kötü amaçlı yazılımların çoğalmasına katkıda bulunur, çünkü kötü amaçlı yazılımları potansiyel olarak daha az yetenekli tehdit aktörleri için bile kullanılabilir hale getirirler" dedi.
"Daha geniş bir işlev yelpazesi sunmak, Lumma Stealer'ı bir ürün olarak daha da çekici hale getirmeye hizmet ediyor."
Açıklamalar, McAfee Labs'ın meşru atası NetSupport Manager'dan ortaya çıkan ve o zamandan beri ilk erişim aracıları tarafından bilgi toplamak ve ilgili kurbanlar üzerinde ek eylemler gerçekleştirmek için kullanılmaya başlanan NetSupport RAT'ın yeni bir varyantını ifşa etmesiyle geldi.
McAfee, "Enfeksiyon, kötü amaçlı yazılım için ilk giriş noktası olarak hizmet veren gizlenmiş JavaScript dosyalarıyla başlar" dedi ve "siber suçlular tarafından kullanılan gelişen taktikleri" vurguladığını da sözlerine ekledi.
JavaScript dosyasının yürütülmesi, aktör tarafından kontrol edilen bir sunucudan uzaktan kumanda ve hırsız kötü amaçlı yazılımını almak için PowerShell komutlarını çalıştırarak saldırı zincirini ilerletir. Kampanyanın birincil hedefleri arasında ABD ve Kanada yer alıyor.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı