Araştırmacılar, kurbanları cihazlarına Aurora infostelaer’ı indirmeleri ve çalıştırmaları için kandırmak için sahte Windows güncellemeleri kullanan yeni bir siber dolandırıcılık kampanyası konusunda uyardı.
Malwarebytes’teki uzmanlar kısa bir süre önce, kötü amaçlı yazılım dağıtmak için pop-under reklamlardan yararlanan kötü amaçlı bir reklam kampanyası tespit etti. (yeni sekmede açılır) yükleyici
Pop-under reklamlar, tarayıcının altına yüklenen ve yalnızca kullanıcı tarayıcıyı kapattığında veya tarayıcıyı gözden uzaklaştırdığında görülebilen bir reklam türüdür. Daha çok trafiği yüksek olan yetişkin içerikli web sitelerinde sunulan bu reklamlar tam ekran olarak gösteriliyor ve kullanıcıya cihazını güncellemesi gerektiğini söylüyor. Bu kampanyada bir düzineden fazla alan adı kullanıldığı söylendi.
türk kurbanlar
Numaraya kananlar, gerçekte “Geçersiz Yazıcı” adlı bir kötü amaçlı yazılım yükleyici olan ChromeUpdate.exe adlı bir dosyayı indirir. Araştırmacılar, Geçersiz Yazıcı’nın sözde “tamamen algılanamaz” (FUD) bir kötü amaçlı yazılım yükleyici olduğunu ve yalnızca bu belirli ancak adı açıklanmayan tehdit aktörü tarafından kullanıldığını söylüyor. Geçersiz Yazıcı hedef uç noktaya ulaştığında, önce grafik kartını kontrol ederek sanal makinede mi yoksa sanal alanda mı yüklü olduğunu kontrol eder. Cihazın meşru bir hedef olduğunu belirlerse, Aurora infostealer’ın bir kopyasını paketinden çıkaracak ve başlatacaktır.
Aurora, yaratıcılarının iddiasına göre “geniş yeteneklere” ve düşük antivirüs algılamasına sahip bir kötü amaçlı yazılımdır. Malwarebytes, gerçekte antivirüs programlarının Aurora yüklemelerini kötü amaçlı olarak işaretlemeye başlamasının birkaç hafta sürdüğünü söyledi. Golang dilinde yazılan Aurora, bir yılı aşkın süredir dark web forumlarında indirimde. Araştırmacılar, bu özel kampanyada yaklaşık 600 cihazın güvenliğinin ihlal edildiğine inanıyor.
Malwarebytes tehdit istihbaratı direktörü Jérôme Segura’ya göre, Virus Total’e her yeni örnek gönderildiğinde bir Türk kullanıcıdan geldiği için kurbanların çoğu Türk.
Araştırmacı, “Birçok durumda, dosya adı derleyiciden yeni gelmiş gibi görünüyordu (yani build1_enc_s.exe),” diye tamamladı araştırmacı.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
