Siber güvenlik araştırmacıları, iki farklı bilgi çalan kötü amaçlı yazılıma karşı uyarıda bulunuyor. FFDroider ve yıldırım hırsızıverileri sifonlama ve daha fazla saldırı başlatma yeteneğine sahiptir.
Zscaler ThreatLabz araştırmacıları Avinash Kumar ve Niraj Shivtarkar, “Çalınan kimlik bilgilerini ve tanımlama bilgilerini bir Komuta ve Kontrol sunucusuna göndermek için tasarlanan FFDroider, kurbanın makinelerinde anlık mesajlaşma uygulaması ‘Telegram’ gibi görünmek için kendini gizler.” dedim Geçen hafta yayınlanan bir raporda.
Bilgi hırsızları, adından da anlaşılacağı gibi, tuş vuruşları, ekran görüntüleri, dosyalar, kaydedilmiş şifreler ve web tarayıcılarından çerezler gibi güvenliği ihlal edilmiş makinelerden hassas bilgileri toplamak için donatılmıştır ve bunlar daha sonra saldırgan tarafından kontrol edilen uzak bir alana iletilir.
FFDroider, temel amacı popüler sosyal medya ve e-ticaret platformlarıyla ilişkili tanımlama bilgilerini ve kimlik bilgilerini çalmak ve hesaplara giriş yapmak ve hesapla ilgili diğer kişisel bilgileri yakalamak için yağmalanan verileri kullanmak olan yükleyicilerin ve ücretsiz yazılımların crackli sürümleri aracılığıyla dağıtılır.
Kötü amaçlı yazılımın hedeflediği web tarayıcıları arasında Google Chrome, Mozilla Firefox, Internet Explorer ve Microsoft Edge bulunur. Hedeflenen web siteleri Facebook, Instagram, Twitter, Amazon, eBay ve Etsy’yi kapsıyor.
Araştırmacılar, “Hırsız, çalınan çerezleri kullanarak kurbanların sosyal medya platformlarına giriş yapıyor ve saklanan ödeme yöntemleriyle kötü niyetli reklamlar yayınlamak için Facebook Ads-yöneticisi ve kişisel bilgileri çalmak için API aracılığıyla Instagram gibi hesap bilgilerini ayıklıyor” dedi.
FFDroider ayrıca, bir güncelleme sunucusundan yeni modüllerle kendini yükseltmek için bir indirme işleviyle birlikte gelir; bu, zaman içinde özellik setini genişletmesine olanak tanır ve kötü niyetli kişilerin bir hedefe ilk erişim için bir vektör olarak çalınan verileri kötüye kullanmasına olanak tanır.
Yıldırım Hırsızının Ana İşlevi |
Şimşek hırsızı, Discord jetonlarını, kripto para cüzdanlarındaki verileri ve 30’dan fazla Firefox ve Chromium tabanlı tarayıcıdan çerezler, şifreler, kredi kartları ve arama geçmişiyle ilgili ayrıntıları çalabilmesi bakımından benzer bir şekilde çalışır ve bunların tümü sızdırılır. JSON formatında bir sunucuya.
Cyble araştırmacıları, “Bilgi Hırsızları daha kaçamak yapmak için yeni teknikler benimsiyor” dedim“fidye yazılımı gruplarının, ilk ağ erişimini elde etmek ve sonunda hassas verileri sızdırmak için Bilgi Çalanlardan yararlandığına tanık oldu.”
Bu gelişme, çalınan kötü amaçlı yazılımların son aylarda farklı saldırı kampanyalarında giderek daha yaygın hale gelmesiyle ortaya çıktı. Raccoon Stealer’ın çıkışı Ukrayna’da devam eden savaş nedeniyle Mart ayı sonlarında piyasadan.
Şubat 2022’de Cyble Research, ortaya çıkan tehdidin ayrıntılarını açıkladı: soytarı hırsızı Bu, oturum açma kimlik bilgilerini, tanımlama bilgilerini, kredi kartı bilgilerini ve parola yöneticilerinden, sohbet programlarından, e-posta istemcilerinden, kripto cüzdanlarından ve oyun uygulamalarından gelen verileri çalmak ve saldırganlara iletmek için tasarlanmıştır.
O zamandan beri, BlackGuard, Mars Stealer ve dahil olmak üzere vahşi doğada en az üç farklı bilgi hırsızı ortaya çıktı. METAsonuncusunun hassas verileri toplamak için kötü amaçlı spam kampanyaları yoluyla teslim edildiği gözlemlendi.