Crazy Evil olarak bilinen Rusça konuşan bir siber suç çetesi, kurbanları aldatmak ve Stealc, Atomic MacOS Stealer (AKA Amos) gibi kötü amaçlı yazılımları kurmaya kandırmak için çok çeşitli özel yemlerden yararlanan 10’dan fazla aktif sosyal medya dolandırıcılığına bağlandı. Melek drenajı.
“Kimlik sahtekarlığı, kripto para birimi hırsızlığı ve bilgi çalan kötü amaçlı yazılım konusunda uzmanlaşmış olan Crazy Evil, iyi koordine edilmiş bir kaçak ağı istihdam ediyor-meşru trafiği kötü niyetli kimlik avı sayfalarına yeniden yönlendirmekle görevli sosyal mühendislik uzmanları” söz konusu bir analizde.
Farklı bir kötü amaçlı yazılım Arsenal Cryptoscam grubunun kullanılması, tehdit oyuncusunun hem Windows hem de MacOS sistemlerinin kullanıcılarını hedeflediğinin bir işaretidir ve merkezi olmayan finans ekosistemi için bir risk oluşturur.
Crazy Evil’in en az 2021’den beri aktif olduğu değerlendirildi ve öncelikle diğer suçlu ekipler tarafından işletilen kötü niyetli iniş sayfalarına meşru trafiği yeniden yönlendirmekle görevli bir kaçak ekibi olarak işlev gördü. İddiaya göre, Telegram’da @AbrahamcrazyEvil olarak bilinen bir tehdit oyuncusu tarafından yönetildiği gibi, mesajlaşma platformunda (@craZeVilcorp) 4.800’den fazla aboneye hizmet vermektedir.
Fransız siber güvenlik şirketi Sekoia, Ağustos 2022’de kaçak hizmetleri hakkında derin bir dalış raporunda, “Kullanıcıları yaygın olarak ya da özellikle bir bölgeye veya bir işletim sistemine tehlikeye atmayı planlayan bu botnet operatörlerine trafiği para kazanıyorlar.” Dedi.
“Bu nedenle kaçmanın karşılaştığı temel zorluk, botlar olmadan yüksek kaliteli trafik üretmek, güvenlik satıcıları tarafından tespit edilmemiş veya analiz etmek ve sonunda trafik türüne göre filtrelenmektir. Başka bir deyişle, kaçakların etkinliği bir olası satış üretimidir.”
Farklı Diğer Dolandırıcılıklar Bu, hileli işlemleri kolaylaştırmak için sahte alışveriş siteleri kurma etrafında dönüyor, Crazy Evil, figürü olmayan jetonlar (NFTS), kripto para birimleri, ödeme kartları ve çevrimiçi bankacılık hesaplarını içeren dijital varlıkların çalınmasına odaklanıyor. Yasadışı gelirde 5 milyon doların üzerinde gelir elde ettiği ve küresel olarak on binlerce cihazdan ödün verdiği tahmin ediliyor.
Ayrıca, diğer iki siber suç grubu Markopolo ve Cryptoloveher ikisi de Sekoia tarafından Ekim 2024’te sahte Google Meet sayfaları kullanan bir ClickFix kampanyasından sorumlu olarak tanımlanmıştı.
“Crazy Evil, kripto para alanını ısmarlama mızrak aktı yemleriyle açıkça mağdur ediyor.” Dedi. “Çılgın Evil Ticaretleri bazen operasyonları kapsamaya, hedefleri tanımlamak ve katılımları başlatmak için günler veya haftalar süren keşif süresi alır.”
Grubun yöneticileri, bilgi çalan ve cüzdan süzücüleri sağlayan saldırı zincirlerinin düzenlenmesinin yanı sıra, kötü niyetli yükler için taffers ve krypter hizmetleri için talimat kılavuzları ve rehberlik sunduğunu ve operasyonları devretmek için bağlı bir yapı sunduğunu iddia ediyor.
Crazy Evil, Telekopi’nin son yıllarda maruz kaldığı ikinci siber suç grubudur ve operasyonlarını telgraf etrafında odaklar. Yeni işe alınan iştirakler, bir tehdit aktör kontrollü telgraf botu tarafından diğer özel kanallara yöneliktir –
- Ödemelertacizler için kazançları duyurur
- Kütükbilgi çalma saldırılarının denetim izini, çalınan verilerle ilgili ayrıntıları ve hedefler tekrar kurbanları tekrarlarsa sağlar
- Bilgikaçaklar için düzenli idari ve teknik güncellemeler sağlar
- Küresel sohbetişten memlere kadar değişen tartışmalar için ana iletişim alanı görevi gören
Siber suç grubunun, her biri kurbanları sahte web sitelerinden aleti kurmayı içeren belirli bir dolandırıcılığa atfedilen altı alt takım, Avland, Typed, Typed, Deland, Zoomland, Defi ve Kevland’dan oluştuğu bulunmuştur –
- Avland (aka avs | rg veya intikam), iş teklifini ve yatırım dolandırıcılarını, voxium adlı bir Web3 iletişim aracı (“voxiumCalls[.]com “)
- YazılmışAmos Stealer’ı Typerdex (“Typerdex[.]AI “)
- DelandAmos Stealer’ı DeMeet adlı bir topluluk geliştirme platformunun kisvesi altında yayar (“DeMeet[.]uygulama”)
- Zoomlandzoom ve wechat’i taklit eden genel dolandırıcılıklardan yararlanan (“App-whechat[.]com “) Amos Stealer’ı yaymak için
- DibeSelenium Finance adlı bir dijital varlık yönetim platformunun kisvesi altında Amos Stealer’ı yayan (“Selenium[.]fi “)
- KevlandAmos Stealer’ı Gatherum (“Gathumum[.]CA “)
Kayıtlı Gelecek, “Crazy Evil başarıya ulaşmaya devam ettikçe, diğer siber suçlu varlıkların yöntemlerini taklit etmesi muhtemel, güvenlik ekiplerini kripto para birimi, oyun ve yazılım sektörlerinde yaygın ihlalleri ve güven erozyonunu önlemek için sürekli uyanık kalmaya zorluyor.” Dedi.
Geliştirme, siber güvenlik şirketinin TAG-124 olarak adlandırılan bir Trafik Dağıtım Sistemi (TDS) Dublajı ile ortaya çıktıkça, Landupdate808404 TDS, Kongtuke ve Chaya_002. Rhysida fidye yazılımı, kilit fidye yazılımı, TA866/Asylum Ambuscade, Socgholish, D3f@CK Loader ve TA582 TDS’yi ilk enfeksiyon dizilerinde kullandığı bulunmuştur.
“Tag-124, tehlikeye atılan WordPress siteleri, aktör kontrollü yük sunucuları, merkezi bir sunucu, şüpheli bir yönetim sunucusu, ek bir panel ve diğer bileşenlerden oluşan bir ağ içerir” söz konusu. “Ziyaretçiler belirli kriterleri yerine getirirse, tehlikeye atılan WordPress web siteleri, sonuçta kötü amaçlı yazılım enfeksiyonlarına yol açan sahte Google Chrome güncelleme açılış sayfaları görüntüler.”
Kaydedilen Gelecek ayrıca, TAG-124’ün paylaşılan kullanımının Rhysida ve kilit fidye yazılımı suşları arasındaki bağlantıyı güçlendirdiğini ve TAG-124 kampanyalarının son varyasyonlarının, ziyaretçilere panolarına önceden belirlenen bir komutu yürütme talimat tekniğini kullandığını kaydetti. Kötü amaçlı yazılım enfeksiyonunu başlatın.
Saldırının bir parçası olarak konuşlandırılan bazı yükler arasında Remcos Rat ve CleanUploader (diğer adıyla süpürge veya istiridye), ikincisi Rhysida ve kilit fidye yazılımı için bir kanal görevi görür.
Toplam 10.000’den fazla tehlikeye atılan WordPress siteleri, müşteri tarafı saldırısı olarak tanımlananların bir parçası olarak Amos ve Socgholish için bir dağıtım kanalı olarak hareket ettiği keşfedildi.
“Kullanıcının tarayıcısına yüklenen javascript bir iframe içinde sahte sayfayı oluşturur,” C/yan araştırmacı Himanshu Anand söz konusu. “Saldırganlar, müşteri tarafı izleme aracı olmadan web siteleri için algılamayı zorlaştırmak için modası geçmiş WordPress sürümlerini ve eklentilerini kullanıyor.”
Ayrıca, tehdit aktörleri, Lumma Stealer’ın ve Sectoprat, Vidar Stealer ve Cobalt Strike Beacon gibi diğer yüklere yol açan kötü amaçlı kurulumcuları barındırmak için Github gibi popüler platformlarla ilişkili güveni kullandılar.
Trend Micro’nun aktivitesi, yük yükü dağıtım için GitHub depolarını kullanmanın bir geçmişine sahip olan Stargazer Goblin olarak adlandırılan bir tehdit aktörüne atfedilen taktiklerle önemli örtüşmeler sergiliyor. Bununla birlikte, önemli bir fark, enfeksiyon zincirinin kötü niyetli GitHub serbest bırakma bağlantılarına yönlendiren enfekte web siteleriyle başlamasıdır.
Güvenlik Araştırmacılar Buddy Tancio, Fe Cureg ve Jovit Samaniego, “Lumma Stealer’ın dağıtım yöntemi gelişmeye devam ediyor, tehdit oyuncusu şimdi GitHub depolarını kullanıyor.” söz konusu.
“Hizmet Olarak Kötü Yazılım (MAAS) modeli, kötü amaçlı aktörlere karmaşık siber saldırıları yürütmek ve kötü amaçlı hedeflerine ulaşmak için Lumma Stealer gibi tehditlerin dağılımını hafifleterek uygun maliyetli ve erişilebilir bir araç sağlar.”
