Siber güvenlik araştırmacıları, Lumma ve ACR stealer gibi bilgi stealer’larını dağıtmak için bir cazibe olarak yazılımın çatlak versiyonlarını kullanan yeni bir kampanyayı uyarıyor.
Ahnlab Güvenlik İstihbarat Merkezi (ASEC), Ocak 2025’ten bu yana ACR Stealer’ın dağıtım hacminde bir artış gözlemlediğini söyledi.
Stealer kötü amaçlı yazılımın dikkate değer bir yönü, Dead Drop Resolder Gerçek komut ve kontrol (C2) sunucusunu çıkarmak için. Bu, Steam, Telegram’ın Telegraph, Google Forms ve Google Slaytları gibi meşru hizmetlere güvenmeyi içerir.
“Tehdit aktörleri, belirli bir sayfada Base64 kodlamasına gerçek C2 alanına girer” ASEC söz konusu. “Kötü amaçlı yazılım bu sayfaya erişir, dizeyi ayrıştırır ve kötü niyetli davranışlar gerçekleştirmek için gerçek C2 etki alanı adresini alır.”
Daha önce Buluşma Yükleyicisi kötü amaçlı yazılım aracılığıyla dağıtılan ACR Stealer, dosyalar, web tarayıcı verileri ve kripto para birimi cüzdan uzantıları dahil olmak üzere tehlikeye atılan sistemlerden çok çeşitli bilgileri hasat edebilir.
Geliştirme, ASEC’in Rhadamanthys Stealer kötü amaçlı yazılımını sunmak için Microsoft Yönetim Konsolu (MMC) tarafından yürütülebilen “MSC” uzantısı olan dosyaları kullanan başka bir kampanya açıkladığı gibi geliyor.
“İki tür MSC kötü amaçlı yazılım vardır: biri APDS.DLL’nin (CVE-2024-43572) güvenlik açığından yararlanır ve diğeri, Console TaskPad’i kullanarak ‘komut’ komutunu yürütür” söz konusu.
“MSC dosyası bir MS Word belgesi olarak gizlenir.” ‘Açık’ düğmesi tıklandığında, harici bir kaynaktan bir PowerShell komut dosyasını indirir ve yürütür. İndirilen PowerShell betiği bir exe dosyası (Rhadamanthys) içerir. “
Grimresource olarak da adlandırılan CVE-2024-43572, ilk olarak Haziran 2024’te elastik güvenlik laboratuvarları tarafından kötü niyetli aktörler tarafından sıfır gün olarak sömürüldüğü olarak belgelenmiştir. Ekim 2024’te Microsoft tarafından yamalandı.
Kötü amaçlı yazılım kampanyaları da gözlemlenen Zendesk gibi sohbet destek platformlarından yararlanmak, müşteriler olarak maskelenen, şüphesiz destek aracılarını Zhong Stealer adlı bir stealer indirmek için kandırmak için.
Hudson Rock tarafından yayınlanan yakın tarihli bir rapora göre, 30.000.000’den fazla bilgisayar “son birkaç yılda” bilgi çalanlar tarafından enfekte edildi ve daha sonra diğer aktörlere yeraltı forumlarında sibercriminals tarafından satılabilecek kurumsal kimlik bilgilerinin ve oturum çerezlerinin çalınmasına yol açtı. kâr için.
Alıcılar, bu kimlik bilgilerinin kendilerine ait gözetleme sonrası eylemleri aşamasına ve şiddetli risklere yol açan erişimi silahlandırabilirler. Bu gelişmeler, hassas kurumsal ortamlara dayanak sağlayan başlangıç erişim vektörü olarak Stealer kötü amaçlı yazılımların oynadığı rolü vurgulamaktadır.
Hudson Rock, “Siber suçlular başına 10 $ (bilgisayar) başına 10 $ kadar az bir süre için, sınıflandırılmış savunma ve askeri sektörlerde çalışan çalışanlardan çalınan veri satın alabilirler,” Hudson Rock söz konusu. “Infostealer Intelligence sadece kimin enfekte olduğunu tespit etmekle ilgili değil-bu, tehlikeye atılan kimlik bilgilerinin ve üçüncü taraf risklerin tam ağını anlamakla ilgili.”
Geçtiğimiz yıl boyunca, tehdit aktörleri, kullanıcıları sıklıkla sahte captcha doğrulama sayfalarını kopyalamalarını söyleyen bir ClickFix adı verilen bir teknikle, çalanlar ve uzaktan erişim trojansları (sıçanlar) dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerini yayma çabalarını artırıyorlar. ve Nefarious PowerShell komutlarını yürütmek.
Bu tür bir yük, son C2 sunucusunu anonimleştirmek için I2P anonimleştirme ağını kullanan I2PRAT’dır.
“Kötü amaçlı yazılım, her biri sofistike mekanizmaları içeren çoklu katmanlardan oluşan gelişmiş bir tehdittir.” söz konusu. “Bir anonimleştirme ağının kullanımı izlemeyi zorlaştırıyor ve tehdidin büyüklüğünün ve vahşi doğaya yayılmasının tanımlanmasını engelliyor.”
