Uzmanlar, tehlikeli kötü amaçlı yazılımları dağıtmak için klasik “sahte kripto işi” dolandırıcılığını kullanan bilgisayar korsanlarının bir kez daha bulunduğu konusunda uyardı.
Ancak, her zamanki Kuzey Koreli Lazarus Grubu yerine, bu kez saf kripto işçilerinden yararlanmaya çalışan Ruslar. Trend Micro’dan siber güvenlik araştırmacıları, kısa bir süre önce, Doğu Avrupa’da bulunan kripto para birimi endüstrisindeki çalışanları hedef alan isimsiz Rus tehdit aktörlerini gözlemledi.
Kurbanları bir kripto firmasında yeni bir iş teklifini düşünmeye davet eden e-postalar göndereceklerdi. E-postanın iki eki olacaktı; biri görünüşte iyi huylu bir .txt dosyası (“Mülakat Soruları” başlıklı) ve biri açıkça kötü niyetli (“Mülakat Koşulları.word.exe” başlıklı).
Kendi savunmasız sürücünüzü getirin
Saldırı üç aşamalı bir kampanyadır: Kurban yürütülebilir dosyayı çalıştırırsa, CVE-2015-2291 olarak izlenen bir Intel sürücüsündeki bir güvenlik açığını kötüye kullanan ikinci bir yükü indirir. Yaygın olarak “Kendi Güvenlik Açığı Olan Sürücünüzü Getirin” olarak adlandırılan bu yöntem, tehdit aktörlerinin Kernel ayrıcalıklarıyla komut yürütmesine olanak tanır ve bu özelliği antivirüs korumasını devre dışı bırakmak için kullanır.
Antivirüs devre dışı bırakıldığında, Enigma adlı Stealerium kötü amaçlı yazılımının bir çeşidi olan üçüncü yükün indirilmesini tetikler.
Özel bir Telegram kanalından alınan kötü amaçlı yazılım, sistem bilgilerini, tarayıcı belirteçlerini, depolanan şifreleri (günümüzde Chrome, Edge, Opera vb. dahil olmak üzere neredeyse tüm popüler tarayıcıları hedefler), Outlook, Telegram’da depolanan verileri çıkarabilir. , Signal, OpenVPN ve daha fazlası. Dahası, Enigma ekran görüntülerini alabilir ve pano içeriğini çıkarabilir.
Enigma istediğini aldığında hepsini bir Data.zip arşivinde sıkıştırır ve Telegram aracılığıyla geri gönderir.
Sahte iş teklifleri genellikle Lazarus Group’un yaptığı bir şey olsa da, Trend Micro bu kez grubun Rus kökenli olduğuna inanıyor. Görünüşe göre kayıt sunucularından biri, Rus siber suçlular arasında büyük ölçüde popüler olan bir Amadey C2 paneline ev sahipliği yapıyor. Ayrıca sunucu, neredeyse yalnızca Ruslar tarafından kullanılan bir Linux çeşidi olan “Deniska”yı çalıştırıyor ve sunucunun varsayılan saat dilimi de Moskova olarak ayarlanmış.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
