| Resim Kaynağı: Toptal |
Kötü şöhretli Emotet kötü amaçlı yazılımı, Chrome web tarayıcısında depolanan kredi kartı bilgilerini sifonlamak için tasarlanmış yeni bir modülü dağıtmaya başladı.
Kurumsal güvenlik şirketine göre, Chrome’u özel olarak seçen kredi kartı hırsızı, toplanan bilgileri farklı uzaktan komuta ve kontrol (C2) sunucularına sızdırma yeteneğine sahip. kanıt noktasıbileşeni 6 Haziran’da gözlemledi.
Bu gelişme, Ocak 2021’de saldırı altyapısını çökerten bir kolluk kuvvetleri operasyonunun ardından 10 aylık bir aradan sonra geçen yılın sonlarında yeniden dirildiği için Emotet etkinliğindeki bir ani yükselişin ortasında geliyor.
TA542 (diğer adıyla Mummy Spider veya Gold Crestwood) olarak bilinen bir tehdit aktörüne atfedilen Emotet, e-posta kampanyaları aracılığıyla iletilen ve fidye yazılımı gibi diğer yüklerin dağıtıcısı olarak kullanılan gelişmiş, kendi kendine yayılan ve modüler bir truva atıdır.
Nisan 2022 itibariyle Emotet, dünya çapındaki kuruluşların %6’sının küresel etkisi ile hala en popüler kötü amaçlı yazılımdır ve onu Formbook ve Ajan Teslabaşına Kontrol Noktasıkötü amaçlı yazılım OneDrive URL’lerini kullanarak yeni teslimat yöntemlerini test ediyor ve .LNK eklerinde PowerShell Microsoft’un makro kısıtlamalarını aşmak için.
bu istikrarlı büyüme Emotet ile ilgili tehditler, genellikle mevcut yazışmaları ele geçiren kimlik avı e-postalarının sayısının, toplu bir spam kampanyasının bir parçası olarak çeşitli ülkelerdeki kuruluşları hedef alan Şubat 2022’de 3.000’den Mart’ta yaklaşık 30.000’e çıkması gerçeğiyle daha da doğrulanmaktadır.
Mart ve Nisan 2022’de Emotet etkinliğinin “daha yüksek bir vitese geçtiğini” belirten ESET, tespitlerin 100 kat arttığını ve yılın ilk dört ayında önceki üç aylık döneme göre yüzde 11.000’in üzerinde bir büyüme kaydettiğini söyledi. Eylül-Aralık 2021 arasındaki aylık dönem.
Slovak siber güvenlik şirketi, botnet’in yeniden dirilişinden bu yana ortak hedeflerden bazılarının Japonya, İtalya ve Meksika olduğunu ve en büyük dalganın 16 Mart 2022’de kaydedildiğini belirtti.
Dušan Lacika’da kıdemli tespit mühendisi olan Dušan Lacika, “Emot’un en son LNK ve XLL kampanyalarının boyutu, Mart ayında görülen, güvenliği ihlal edilmiş DOC dosyaları aracılığıyla dağıtılanlardan önemli ölçüde daha küçüktü,” dedi. söz konusu.
“Bu, operatörlerin şu anda varsayılan olarak devre dışı bırakılmış VBA makrolarının yerini alabilecek yeni dağıtım vektörlerini test ederken botnet’in potansiyelinin yalnızca bir kısmını kullandığını gösteriyor.”
Bulgular ayrıca CyberArk’tan araştırmacıların yeni bir teknik düz metin kimlik bilgilerini doğrudan Chromium tabanlı web tarayıcılarında bellekten çıkarmak için.
CyberArk’tan Zeev Ben Porat, “Kimlik bilgileri Chrome’un belleğinde açık metin biçiminde saklanır” söz konusu. “Belirli web uygulamalarında oturum açarken dinamik olarak girilen verilere ek olarak, bir saldırgan tarayıcının parola yöneticisinde depolanan tüm parolaları belleğe yüklemesine neden olabilir.”
Bu aynı zamanda oturum tanımlama bilgileri gibi tanımlama bilgileriyle ilgili bilgileri de içerir ve potansiyel olarak bir saldırganın bilgileri çıkarmasına ve çok faktörlü kimlik doğrulama ile korunuyor olsalar bile kullanıcıların hesaplarını ele geçirmek için kullanmasına olanak tanır.
