Güvenliği ihlal edilmiş Windows sistemlerine bir bilgi hırsızı yerleştirmek için tasarlanmış kimlik avı e-postalarıyla İtalya’yı hedefleyen yeni bir kötü amaçlı yazılım kampanyası gözlemlendi.
Uptycs güvenlik araştırmacısı Karthickkumar Kathiresan, “Bilgi hırsızı kötü amaçlı yazılım, sistem bilgisi, kripto cüzdanı ve tarayıcı geçmişleri, çerezler ve kripto cüzdanlarının kimlik bilgileri gibi hassas bilgileri kurban makinelerden çalıyor.” dedim bir raporda.
Kampanyanın detayları ilk sırada yer aldı. ifşa Milan merkezli BT hizmetleri şirketi SI.net tarafından geçen ay.
Çok aşamalı bulaşma dizisi, tıklandığında iki dosyayı barındıran parola korumalı bir ZIP arşiv dosyasını indiren bir bağlantı içeren fatura temalı bir kimlik avı e-postasıyla başlar: Bir kısayol (.LNK) dosyası ve bir toplu iş (.BAT) dosya.
Hangi dosyanın başlatıldığına bakılmaksızın, kısayol dosyasının açılması bir GitHub deposundan bilgi hırsızı yükünü yüklemek için tasarlanmış aynı toplu komut dosyasını getirdiğinden, saldırı zinciri aynı kalır. Bu, yine GitHub’dan alınan meşru bir PowerShell ikili dosyasından yararlanılarak elde edilir.
C# tabanlı kötü amaçlı yazılım yüklendikten sonra sistem meta verilerini ve düzinelerce web tarayıcısından (örn. tanımlama bilgileri, yer imleri, kredi kartları, indirmeler ve kimlik bilgileri) ve çeşitli kripto para cüzdanlarından bilgi toplar ve bunların tümü bir aktöre iletilir. kontrollü etki alanı.
Bu tür saldırıları azaltmak için kuruluşların “kötü amaçlı yazılımları tespit etmek ve tespit etmek için sıkı güvenlik kontrolleri ve çok katmanlı görünürlük ve güvenlik çözümleri” uygulamaları önerilir.