Artan sayıda siber suçlu grubu, tarayıcılardan, kripto para cüzdanlarından ve yerel sistemlerden gelen verileri hedeflemek için Go açık kaynak programlama dilini temel alan Aurora adlı bir bilgi hırsızına yöneliyor.
Siber güvenlik firması Sekoia’daki bir araştırma ekibi, Aurora’yı bilgi hırsızı cephaneliğine ekleyen ve “traffers” olarak adlandırdığı en az yedi kötü niyetli aktör keşfetti. Bazı durumlarda, Redline veya Raccoon bilgi hırsızları ile birlikte de kullanılıyor.
Aurora’nın görece bilinmeyen durumunu ve yakalanması zor doğasını taktik avantajlar olarak vurgulayan rapora göre, şimdiye kadar 40’tan fazla kripto para cüzdanı ve Telegram gibi uygulamalar başarıyla hedef alındı.
Aurora, şirket tarafından ilk olarak Temmuz ayında keşfedildi ve Nisan ayından bu yana, uzaktan erişim özellikleri ve gelişmiş bilgi çalma yeteneklerinin lanse edildiği Rusça konuşulan forumlarda tanıtıldığı düşünülüyor.
“Ekim ve Kasım 2022’de toplanan birkaç yüz örnek ve düzinelerce aktif C2 sunucusu SEKOIA.IO’nun onaylanmasına katkıda bulundu.[‘s] Aurora hırsızının yaygın bir bilgi hırsızı olacağına dair önceki değerlendirme,” şirketin blog gönderisi açıkladı. “Traffers ekipleri de dahil olmak üzere çok sayıda tehdit aktörü, kötü amaçlı yazılımı cephaneliklerine ekledikçe, Aurora Stealer önemli bir tehdit haline geliyor.”
Raporda ayrıca siber suçlu tehdit aktörlerinin bunu birden fazla bulaşma zinciri kullanarak dağıttığı belirtildi. Bunlar, meşru gibi görünen kimlik avı web sitelerinden YouTube videolarına ve sahte “özgür yazılım kataloğu” web sitelerine kadar geniş bir yelpazeyi yönetir.
Blog yazısı, “Bu enfeksiyon zincirleri, kripto para cüzdanları veya uzaktan erişim araçları dahil olmak üzere meşru yazılımların indirme sayfalarını taklit eden kimlik avı sayfalarından ve YouTube videolarından ve SEO destekli sahte kırık yazılım indirme web sitelerinden yararlanan 911 yönteminden yararlanıyor” diye devam etti.
Şirketin analizi ayrıca şu anda Aurora hırsızını vahşi ortamda dağıtan iki enfeksiyon zincirini vurguluyor; biri Exodus Wallet’ı taklit eden bir kimlik avı sitesi aracılığıyla ve diğeri de çalınan bir hesabın ücretsiz olarak nasıl crackli yazılım yükleneceğine ilişkin bir YouTube videosu aracılığıyla.
Kötü amaçlı yazılım, ilgilenilen dosyaları aramak üzere bir dizin listesi toplamak için basit bir dosya kapma yapılandırması kullanır. Daha sonra 8081 ve 9865 bağlantı noktalarında TCP bağlantısını kullanarak iletişim kurar, 8081 en yaygın açık bağlantı noktasıdır. Dışarı sızan dosyalar daha sonra base64’te kodlanır ve komut ve kontrol sunucusuna (C2) gönderilir.
Araştırmacılara göre, toplanan veriler, büyük şirketlerin ve devlet sektörü hedeflerinin peşine düşen sözde “büyük av” operasyonlarında kazançlı takip kampanyaları yürütmek isteyen siber suçlulara çeşitli pazarlarda yüksek fiyatlarla sunuluyor.
Popülaritesi Artan Açık Kaynaklı Kötü Amaçlı Yazılım
Artan sayıda kötü niyetli aktör, daha fazla esneklik sunan Go gibi açık kaynaklı programlama dilleriyle kötü amaçlı yazılım ve fidye yazılımı oluşturuyor.
Go’nun platformlar arası yeteneği, tek bir kod tabanının tüm büyük işletim sistemlerinde derlenmesini sağlar. Bu, BianLian’ın arkasındakiler gibi tehdit aktörlerinin tespit edilmekten kaçınmak için kötü amaçlı yazılıma sürekli değişiklikler yapmasını ve yeni yetenekler eklemesini kolaylaştırır.
Platformlar arası BianLian fidye yazılımının operatörleri, son aylarda C2 altyapılarını artırdı ve bu da operasyon hızlarında bir hızlanma olduğunu gösteriyor.
Geçen yıl BlackBerry tarafından yayınlanan bir rapora göre, yaygın olmayan programlama dilleri – Go, Rust, Nim ve DLang dahil – güvenlik savunmalarını atlamak veya geliştirme süreçlerindeki zayıf noktaları ele almak isteyen kötü amaçlı yazılım yazarları arasında da favori haline geliyor.