Şüpheli Rus tehdit aktörleri, güvenliği ihlal edilmiş ana bilgisayarlara bilgi çalan kötü amaçlı yazılım yüklemek için yem olarak sahte iş fırsatlarıyla kripto endüstrisindeki Doğu Avrupalı kullanıcıları hedefliyor.
Trend Micro araştırmacıları Aliakbar Zahravi ve Peter Girnus, saldırganların “kripto para birimi endüstrisinde yer alan kişilere Enigma hırsızı bulaştırmak için oldukça karmaşık ve az gelişmiş birkaç özel yükleyici kullanıyor” dedi. söz konusu bu hafta bir raporda.
Enigma’nın hırsız, kırpıcı ve keylogger gibi davranan açık kaynaklı C# tabanlı bir kötü amaçlı yazılım olan Stealerium’un değiştirilmiş bir versiyonu olduğu söyleniyor.
Karmaşık bulaşma yolculuğu, kimlik avı veya sosyal medya platformları aracılığıyla dağıtılan hileli bir RAR arşiv dosyasıyla başlar. Biri, kripto para birimiyle ilgili bir dizi örnek görüşme sorusu içeren bir .TXT dosyası olan iki belge içerir.
İkinci dosya, bir tuzak görevi görürken, birinci aşama Enigma yükleyicisini başlatmakla görevli bir Microsoft Word belgesidir;
“Bir sonraki aşama yükünü indirmek için, kötü amaçlı yazılım önce saldırganın kontrolündeki Telegram kanalına bir istek gönderir. […] “Dosya yolunu elde etmek için” dedi araştırmacılar. “Bu yaklaşım, saldırganın sürekli olarak güncelleme yapmasına olanak tanır ve sabit dosya adlarına güvenilmesini ortadan kaldırır.”
Yükseltilmiş ayrıcalıklarla yürütülen ikinci aşama indirici, Microsoft Defender’ı devre dışı bırakmak ve CVE-2015-2291’e karşı savunmasız olan yasal olarak imzalanmış bir çekirdek modu Intel sürücüsünü dağıtarak bir üçüncü aşama yüklemek için tasarlanmıştır. teknik isminde Kendi Savunmasız Sürücünüzü Getirin (BYOVD).
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatının (CISA), vahşi ortamda aktif sömürüye ilişkin kanıtlara atıfta bulunarak, güvenlik açığını Bilinen Yararlanılan Güvenlik Açıkları (KEV) kataloğuna eklediğini belirtmekte fayda var.
Üçüncü aşama yükü, eninde sonunda Enigma Stealer’ı oyuncu tarafından kontrol edilen bir Telegram kanalından indirmenin yolunu açar. Kötü amaçlı yazılım, diğer hırsızlar gibi, hassas bilgileri toplama, tuş vuruşlarını kaydetme ve ekran görüntüleri yakalama özelliklerine sahiptir ve bunların tümü Telegram aracılığıyla geri sızdırılır.
Sahte iş teklifleri, Kuzey Kore destekli Lazarus Group’un kripto sektörünü hedef alan saldırılarında kullandığı denenmiş ve test edilmiş bir taktiktir. Bu modus operandi’nin Rus tehdit aktörleri tarafından benimsenmesi, “sürekli ve kazançlı bir saldırı vektörünü gösteriyor.”
Bulgular Uptycs olarak geliyor piyasaya sürülmüş Armory, Atomic Wallet, Coinomi, Electrum, Exodus, Guarda, Jaxx Liberty ve Zcash gibi kripto para cüzdanlarının kimlik bilgileri de dahil olmak üzere kişisel verileri çekmek için Stealerium kötü amaçlı yazılımını kullanan bir saldırı kampanyasının ayrıntıları.
Kripto para cüzdanlarını hedeflemede Enigma Stealer ve Stealerium’a katılmak, adı verilen başka bir kötü amaçlı yazılımdır. Vektör Hırsızı Cyble teknik bir yazıda, bunun aynı zamanda .RDP dosyalarını çalma yetenekleriyle birlikte geldiğini ve tehdit aktörlerinin uzaktan erişim için RDP korsanlığı gerçekleştirmesine olanak tanıdığını söyledi.
Siber güvenlik firmaları tarafından belgelenen saldırı zincirleri, kötü amaçlı yazılım ailelerinin kötü amaçlı makrolar içeren Microsoft Office ekleri aracılığıyla teslim edildiğini gösteriyor;
İspanyol kullanıcılara yönelik bir kripto hırsızlığı ve kimlik avı kampanyasının zemininde bir Monero kripto madencisini konuşlandırmak için benzer bir yöntem de kullanıldı. Fortinet FortiGuard Laboratuvarları.
Gelişme aynı zamanda kurbanların kripto para varlıklarını platformlar arasında çalmayı amaçlayan uzun bir saldırı listesinin en sonuncusu.
Bu, kripto cüzdanlarının yanı sıra banka ve finans uygulamalarından kimlik bilgilerini ve fonları yağmalayan, TgToxic olarak adlandırılan “hızla gelişen” bir Android bankacılık truva atını içerir. Temmuz 2022’den beri aktif olan ve devam eden kötü amaçlı yazılım kampanyası, Tayvan, Tayland ve Endonezya’daki mobil kullanıcılara yöneliktir.
“Kurban, tehdit aktörü tarafından verilen web sitesinden sahte uygulamayı indirdiğinde veya kurban, WhatsApp veya Viber gibi mesajlaşma uygulamaları aracılığıyla tehdit aktörüne doğrudan mesaj göndermeye çalıştığında, siber suçlu kullanıcıyı kandırarak kötü amaçlı yazılımı kaydetmesini ve yüklemesini sağlar. ve ihtiyaç duyduğu izinleri etkinleştirme,” Trend Micro söz konusu.
Sahte uygulamalar, yetkisiz fon transferlerini gerçekleştirmek için Android’in erişilebilirlik hizmetlerini kötüye kullanmanın yanı sıra, Easyclick ve Auto.js gibi meşru otomasyon çerçevelerinden tıklamalar ve hareketler gerçekleştirmek için yararlanmalarıyla da dikkat çekiyor ve bu da onu, PixPirate’den sonra bu tür uygulamaları bir araya getiren ikinci Android kötü amaçlı yazılımı yapıyor. iş akışı IDE’leri.
Ancak sosyal mühendislik kampanyaları, saldırıya uğramış cüzdanlardan Ethereum ve NFT’leri aktarmak amacıyla popüler kripto hizmetlerini taklit eden inandırıcı açılış sayfaları oluşturarak sosyal medya kimlik avı ve smishing’in ötesine geçti.
Recorded Future’a göre bu, kimlik avı sayfasına, kurbanları cüzdanlarını misli olmayan tokenler (NFT’ler) basmak için kazançlı tekliflerle bağlamaya çeken bir kripto boşaltıcı komut dosyası enjekte edilerek elde ediliyor.
Bu tür hazır kimlik avı sayfaları, hizmet olarak kimlik avı (PhaaS) adı verilen planın bir parçası olarak darknet forumlarında satılıyor ve diğer aktörlerin bu paketleri kiralamasına ve hızlı bir şekilde geniş ölçekte kötü amaçlı operasyonlar gerçekleştirmesine izin veriyor.
Şirket, “‘Kripto süzgeçler’, e-skimmers gibi işlev gören ve kurbanların kripto varlıklarını çalmak için kimlik avı teknikleriyle konuşlandırılan kötü amaçlı komut dosyalarıdır.” söz konusu geçen hafta yayınlanan bir raporda, dolandırıcılığın etkili olduğunu ve popülaritesinin arttığını açıkladı.
“Kripto sızdırıcı kimlik avı sayfalarında meşru hizmetlerin kullanılması, kimlik avı sayfasının başka türlü anlayışlı bir kullanıcının ‘dolandırıcılık turnusol testinden’ geçme olasılığını artırabilir. Kripto cüzdanları ele geçirildikten sonra, varlıkların saldırganların cüzdanlarına yasa dışı transferini önleyecek hiçbir koruma mevcut değildir.”
Saldırılar, suç gruplarının 2022’de kripto işletmelerinden rekor kıran 3,8 milyar dolar çaldığı bir zamanda gerçekleşti ve artışın çoğu Kuzey Kore devlet destekli bilgisayar korsanlığı ekiplerine atfedildi.