Yeni StrelaStealer Kimlik Avı Saldırıları AB ve ABD'de 100'den Fazla Kuruluşu Vurdu

Palo Alto Networks Unit 42 araştırmacıları, kampanyaların AB ve ABD'deki 100'den fazla kuruluşu etkilediğini söyledi.

Araştırmacılar Benjamin Chang, Goutam Tripathy, Pranay Kumar Chhaparwal, Anmol Maurya ve Vishwa Thothathri, "Bu kampanyalar, sonunda StrelaStealer'ın DLL yükünü başlatan ekleri olan spam e-postalar şeklinde geliyor" dedi.

"Saldırganlar, tespit edilmekten kaçınmak amacıyla, daha önce oluşturulan imza veya kalıpların algılanmasını önlemek için ilk e-posta eki dosya biçimini bir kampanyadan diğerine değiştirir."

İlk olarak Kasım 2022'de duyurulan StrelaStealer, iyi bilinen e-posta istemcilerinden e-posta oturum açma verilerini sifonlamak ve bunları saldırgan tarafından kontrol edilen bir sunucuya aktarmak için donatılmıştır.

O zamandan beri, Kasım 2023 ve Ocak 2024'te AB ve ABD'deki yüksek teknoloji, finans, profesyonel ve hukuk, imalat, hükümet, enerji, sigorta ve inşaat sektörlerini hedef alan kötü amaçlı yazılımı içeren iki büyük ölçekli kampanya tespit edildi.

Bu saldırılar aynı zamanda, daha iyi gizleme ve anti-analiz teknikleri içeren yeni bir hırsız çeşidi sunmayı amaçlarken, ZIP ekleri taşıyan fatura temalı e-postalar aracılığıyla yayılır ve ISO dosyalarından bir geçişi işaret eder.

ZIP arşivlerinde, 32 bit dinamik bağlantı kitaplıklarını çalıştırmaktan sorumlu meşru bir Windows bileşeni olan rundll32.exe'i kullanarak hırsız DLL yükünü başlatan bir toplu iş dosyası bırakan bir JavaScript dosyası bulunur.

Hırsız kötü amaçlı yazılım, korumalı ortamlarda analizi zorlaştırmak için bir dizi gizleme hilesine de güvenir.

Araştırmacılar, "Her yeni e-posta kampanyası dalgasında, tehdit aktörleri hem enfeksiyon zincirini başlatan e-posta ekini hem de DLL yükünün kendisini güncelliyor" dedi.

Açıklama, Broadcom'un sahibi olduğu Symantec'in GitHub, Mega veya Dropbox'ta barındırılan iyi bilinen uygulamalar veya crackli yazılımlar için sahte yükleyicilerin Stealc olarak bilinen hırsız bir kötü amaçlı yazılım için bir kanal görevi gördüğünü ortaya çıkarmasıyla geldi.

Kimlik avı kampanyalarının ayrıca Revenge RAT ve Remcos RAT (diğer adıyla Rescoms) sağladığı gözlemlendi ve ikincisi ESET'e göre AceCryptor adlı bir hizmet olarak kriptolayıcı (CaaS) aracılığıyla teslim edildi.

Siber güvenlik firması, telemetri verilerine atıfta bulunarak, "[2023'ün ikinci yarısında] Rescom'lar, AceCryptor tarafından paketlenen en yaygın kötü amaçlı yazılım ailesi haline geldi" dedi. "Bu girişimlerin yarısından fazlası Polonya'da gerçekleşti, ardından Sırbistan, İspanya, Bulgaristan ve Slovakya geldi."

H2 2023'te AceCryptor içinde paketlenmiş diğer önemli kullanıma hazır kötü amaçlı yazılımlar arasında SmokeLoader, STOP fidye yazılımı, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou ve Stealc yer alıyor. Bu kötü amaçlı yazılım türlerinin çoğunun PrivateLoader aracılığıyla da yayıldığını belirtmekte fayda var.

Secureworks tarafından gözlemlenen bir başka sosyal mühendislik dolandırıcılığının, arama motorlarında yakın zamanda ölen kişiler hakkında bilgi arayan kişileri, sahte web sitelerinde barındırılan sahte ölüm ilanları ile hedef aldığı ve nihayetinde reklam yazılımlarını ve diğer istenmeyen programları zorlamak için arama motoru optimizasyonu (SEO) zehirlenmesi yoluyla sitelere trafik çektiği tespit edildi.

Şirket, "Bu sitelerin ziyaretçileri, e-buluşma veya yetişkinlere yönelik eğlence web sitelerine yönlendiriliyor veya tıklandığında hemen web push bildirimleri veya pop-up reklamlar yükleyen CAPTCHA istemleriyle sunuluyor" dedi.

"Bildirimler, McAfee ve Windows Defender gibi iyi bilinen antivirüs uygulamalarından gelen yanlış virüs uyarısı uyarılarını görüntülüyor ve kurban düğmelerden birine tıklasa bile tarayıcıda kalmaya devam ediyor."

"Düğmeler, abonelik tabanlı antivirüs yazılım programları için meşru açılış sayfalarına bağlantı veriyor ve köprüye gömülü bir bağlı kuruluş kimliği, yeni abonelikler veya yenilemeler için tehdit aktörlerini ödüllendiriyor."

Sahte girişim şu anda antivirüs yazılımı için bağlı kuruluş programları aracılığıyla dolandırıcıların kasasını doldurmakla sınırlı olsa da, saldırı zincirleri bilgi hırsızları ve diğer kötü amaçlı programları teslim etmek için kolayca yeniden kullanılabilir ve bu da onu daha güçlü bir tehdit haline getirir.

Geliştirme ayrıca, MetaStealer, Warzone RAT, XMRig madencisi ve Remote Utilities adlı meşru bir uzak masaüstü aracı gibi bir tehdit kokteyli sunmak için yürütülebilir bir ek içeren kimlik avı e-postalarından yararlanan Fluffy Wolf olarak izlenen yeni bir etkinlik kümesinin keşfini de takip ediyor.

Kampanya, vasıfsız tehdit aktörlerinin bile geniş ölçekte başarılı saldırılar gerçekleştirmek ve hassas bilgileri yağmalamak için hizmet olarak kötü amaçlı yazılım (MaaS) planlarından yararlanabileceğinin ve daha sonra kâr için daha fazla para kazanılabileceğinin bir işaretidir.

"Teknik beceriler açısından vasat olmasına rağmen, bu tehdit aktörleri hedeflerine yalnızca iki araç seti kullanarak ulaşıyor: meşru uzaktan erişim hizmetleri ve ucuz kötü amaçlı yazılımlar" BI. ZONE dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği