adlı yeni bir gizli bilgi hırsızı kötü amaçlı yazılımı Haydut Hırsızı çok sayıda web tarayıcısını ve kripto para cüzdanını hedefleyebilme yeteneği nedeniyle siber güvenlik araştırmacılarının dikkatini çekti.
Trend Micro, “Bandit Stealer, Go programlama dili kullanılarak geliştirildiğinden ve muhtemelen platformlar arası uyumluluğa izin verdiğinden, diğer platformlara yayılma potansiyeline sahiptir.” söz konusu Cuma raporunda.
Kötü amaçlı yazılım şu anda meşru bir komut satırı aracı kullanarak Windows’u hedeflemeye odaklanmıştır. runas.exe bu, kullanıcıların programları farklı izinlere sahip başka bir kullanıcı olarak çalıştırmasına olanak tanır.
Amaç, ayrıcalıkları yükseltmek ve kendisini yönetici erişimiyle yürütmek, böylece geniş veri yığınlarını toplamak için güvenlik önlemlerini etkin bir şekilde atlamaktır.
Bununla birlikte, Microsoft’un aracın yetkisiz olarak yürütülmesini önlemeye yönelik erişim denetimi azaltmaları, bir yönetici gerekli kimlik bilgilerini sağlamayı gerektirdiğinden, kötü amaçlı yazılım ikilisini çalıştırma girişimi anlamına gelir.
Trend Micro, “runas.exe komutunu kullanarak, kullanıcılar programları yönetici olarak veya uygun ayrıcalıklara sahip herhangi bir başka kullanıcı hesabı olarak çalıştırabilir, kritik uygulamaları çalıştırmak için daha güvenli bir ortam sağlayabilir veya sistem düzeyindeki görevleri gerçekleştirebilir” dedi.
“Bu yardımcı program, mevcut kullanıcı hesabının belirli bir komutu veya programı yürütmek için yeterli ayrıcalığa sahip olmadığı durumlarda özellikle yararlıdır.”
Bandit Stealer, sanal ortamda mı yoksa sanal ortamda mı çalıştığını belirlemek için kontroller içerir ve virüslü sistemdeki varlığını gizlemek için engellenenler listesine alınan işlemlerin bir listesini sonlandırır.
Ayrıca, web tarayıcılarında ve kripto cüzdanlarında saklanan kişisel ve finansal verileri toplamayı içeren veri toplama faaliyetlerine başlamadan önce Windows Kayıt Defteri değişiklikleri yoluyla kalıcılık sağlar.
Bandit Stealer’ın, arka planda enfeksiyonu tetiklerken dikkat dağıtma manevrası olarak görünüşte zararsız bir Microsoft Word ekini açan bir damlalık dosyası içeren kimlik avı e-postaları aracılığıyla dağıtıldığı söyleniyor.
Trend Micro ayrıca, çok sayıda alıcıya istenmeyen e-postalar ve SMS mesajları gönderme sürecini otomatikleştiren ve kullanıcıları gömülü kötü amaçlı yazılımı başlatmaları için kandırmak için kullanılan bir hizmet olan Heart Sender’ın sahte bir yükleyicisini tespit ettiğini söyledi.
Gelişme, siber güvenlik firmasının Windows’u hedefleyen Rust tabanlı bir bilgi hırsızını ortaya çıkarmasıyla ortaya çıktı. kaldıraçlar kurbanın web tarayıcısı kimlik bilgilerini, kredi kartlarını, kripto para cüzdanlarını ve Steam ve Discord jetonlarını elde etmek için saldırgan tarafından bir sızma kanalı olarak kontrol edilen bir GitHub Codespaces web kancası.
Kötü amaçlı yazılım, nispeten alışılmadık bir taktikle, kalıcılığa ulaşır uygulamadan bilgi yakalamak için tasarlanmış JavaScript kodunu enjekte etmek için kurulu Discord istemcisini değiştirerek sistemde.
Bulgular aynı zamanda birkaç suş gibi emtia hırsızı kötü amaçlı yazılımlarının LucaStrelaStealer, Kara bulut, Beyaz YılanVe Invicta Hırsızıbazıları olmuştur gözlenen yayılma istenmeyen e-postalar yoluyla ve hileli versiyonlar popüler yazılımlardan.
Bir başka dikkate değer eğilim, kullanımı olmuştur. Youtube videolar milyonlarca aboneye sahip güvenliği ihlal edilmiş kanallar aracılığıyla crackli yazılımların reklamını yapmak.
Hırsızlardan toplanan veriler, operatörlerin kimlik hırsızlığı, finansal kazanç, veri ihlalleri, kimlik bilgileri doldurma saldırıları ve hesap ele geçirme gibi amaçlardan yararlanmalarına olanak tanıyarak birçok yönden fayda sağlayabilir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Çalınan bilgiler, hedeflenen kampanyalardan fidye yazılımı veya gasp saldırılarına kadar değişebilen takip saldırıları için bir temel görevi görerek diğer aktörlere de satılabilir.
Bu gelişmeler, tıpkı hizmet olarak kötü amaçlı yazılım (MaaS) pazarının onları hazır hale getirmesi ve hevesli siber suçlular için giriş engellerini azaltması gibi, hırsız kötü amaçlı yazılımların daha ölümcül bir tehdide dönüşmeye devam ettiğini vurgulamaktadır.
Gerçekten de, Secureworks Karşı Tehdit Birimi (CTU) tarafından toplanan veriler, açıklığa kavuşmuş Rusya Pazarı gibi yer altı forumlarında Haziran 2021 ile Mayıs 2023 arasında %670’lik bir artış kaydeden çalınan günlük hacmiyle “gelişen bir bilgi hırsızı pazarı”.
Şirket, “Rus Pazarı, en yakın forum rakibi 2easy’den yaklaşık on kat daha fazla olan beş milyon kütüğü satışa sunuyor” dedi.
“Rus Pazarı, Rus siber suçlular arasında köklü bir yer tutuyor ve dünya çapındaki tehdit aktörleri tarafından yaygın olarak kullanılıyor. Rusya Pazarı kısa süre önce üç yeni hırsızın günlüklerini ekledi, bu da sitenin sürekli değişen e-suç ortamına aktif olarak uyum sağladığını gösteriyor.”
MaaS ekosistemi, artan karmaşıklığına rağmen, kanun uygulama eylemlerinin tehdit aktörlerini Warez’lerini Telegram’da satmasına neden olan bir akış halinde.
Secureworks CTU’nun başkan yardımcısı Don Smith, “Gördüğümüz şey, tamamen bir yeraltı ekonomisi ve bilgi hırsızları etrafında inşa edilmiş destekleyici altyapıdır; söz konusu.
“Kolluk kuvvetlerinin koordineli küresel eyleminin bir miktar etkisi var, ancak siber suçlular pazara giden rotalarını yeniden şekillendirmede ustalar.”