Nadiren bir siber suçlu için kök salırsınız, ancak çocuk istismarcılarını hedefleyen yeni bir kötü amaçlı yazılım kampanyası, kurbanlar için kötü hissetmenizi sağlamaz.
2012 yılından bu yana, tehdit aktörleri, CSAM'ı görüntülediklerini enfekte olan Windows kullanıcılarına uyarıda bulunan devlet kurumları gibi davranan çeşitli kötü amaçlı yazılım ve fidye yazılımı yaratıyor. Kötü amaçlı yazılım, mağdurlara bilgilerinin kolluk kuvvetlerine gönderilmesini önlemek için bir "ceza" ödemeleri gerektiğini söyler.
Alt-anti-çocuk porno spam koruması veya Accdfisa adı verilen ilk "modern" fidye yazılımı işlemlerinden biri, bu gasp taktiğini başlangıçta pencere masaüstleri ve daha sonraki sürümlerde dosyaları şifreleme ile birlikte kullandı.
Kısa süre sonra, Harasom, Urausy ve Reveton Truva atları gibi CSAM'ı izlemek için para cezası veren kolluk kuvvetleri gibi davranan diğer kötü amaçlı yazılım ailelerini takip etti.
Geçen hafta, Siber Güvenlik Araştırmacısı MalwareHunterTeam, benzer gasp taktikleri kullanarak 'CryptVPN' [Virustotal] adı verilen BleepingComputer ile yürütülebilir bir kötü amaçlı yazılım örneğini paylaştı.
Bununla birlikte, bu kez, masum insanları hedeflemek yerine, kötü amaçlı yazılım geliştiricisi aktif olarak çocuk pornografisi arayanları hedefliyor.
Kötü amaçlı yazılımları araştırdıktan sonra, BleepingComputer, tehdit aktörlerinin Usenet'ten indirilen görüntülere ve videolara "sansürsüz" erişim için bir abonelik hizmeti olan UsenetClub'u taklit etmek için bir web sitesi oluşturduğunu buldu.
Usenet, insanların abone oldukları "haber grupları" daki çeşitli konuları tartışmalarına izin veren bir çevrimiçi tartışma platformudur. Usenet, çok çeşitli konularda geçerli tartışmalar için kullanılırken, aynı zamanda bilinen bir çocuk pornografisi kaynağıdır.
Tehdit oyuncusu tarafından oluşturulan sahte bir site, sitenin içeriğine üç abonelik katmanı sunan UsenetClub gibi davranıyor. İlk ikisi, aylık 69,99 $ ile yılda 279.99 $ arasında değişen abonelikler için ödenir.
Ancak, üçüncü bir seçenek, ücretsiz bir "cryptvpn" yazılımı yükledikten ve siteye erişmek için kullandıktan sonra ücretsiz erişim sağladığını iddia eder.
"İndir ve Yükle" düğmesine tıklamak, çıkarıldığında, "Tıklama-İnstall" adlı bir Windows kısayolu içeren siteden bir cryptvpn.zip dosyasını indirecektir.
Bu dosya, cryptvpn.exe yürütülebilir dosyasını indirmek, c: \ windows \ tasks.exe adresine kaydetmek ve yürütmek için PowerShell.exe yürütülebilir bir kısayoldur.
Kötü amaçlı yazılım yürütülebilir UPX ile doludur, ancak paketlendiğinde, yazarın kötü amaçlı yazılım "pedoransom" olarak adlandırdığını gösteren bir PDB dizesi içerir.
Kötü amaçlı yazılım hakkında özel bir şey yoktur, çünkü hedefin duvar kağıdını gasp talebine değiştirmek ve masaüstünde Readme.txt adlı bir fidye notu bırakmak, benzer gasp tehditleri içeren.
"Çocuk sömürüsü ve/veya çocuk cinsel istismarı materyali arıyordunuz. Saldıracak kadar aptalıydınız," diye okuyor gasp talebini.
"Tüm bilgilerinizi topladık, şimdi bize bir fidye ödemelisiniz ya da hayatınız bitti."
Gasp, kişinin BC1Q4ZFSPF0S2GFMUU8H5K0679SXGXJKD7AJ5E6QIl Bitcoin adresine on gün içinde 500 $ ödemesi gerektiğini belirtiyor.
Bu Bitcoin adresi şu anda sadece yaklaşık 86 $ ödeme aldı.
Tehdit aktörleri uzun zamandır "sekstrost" taktiklerini kullanıyorlar, bunları gasp talebini ödemeye korkutmaya çalışmak için çok sayıda insana kitle e -postaları gönderiyorlar.
Bu taktikler başlangıçta çok iyi performans gösterdi, spam gönderenler erken kampanyalarda haftada 50.000 doların üzerinde zorlandı.
Bununla birlikte, zaman geçtikçe ve bu dolandırıcıların alıcıları daha akıllıca büyüdükçe, sekstrom kampanyaları bir zamanlar yaptıkları ile aynı gelir elde etmiyor.
Bu özel kampanya biraz daha yaratıcı olsa da ve bu tür içerikleri arayan birçok kişiyi korkutacak olsa da, muhtemelen bu gasp talebini ödeyen pek çok insan görmeyeceğiz.
Cisco, VPN hizmetlerini hedefleyen şifre püskürtme saldırılarını uyarıyor
Coralraider saldırıları, Info-Stealer kötü amaçlı yazılımları itmek için CDN önbelleği kullanır
Hackerlar, Guptiminer kötü amaçlı yazılımları bırakmak için antivirüs güncellemelerini ele geçiriyor
Gitlab, Github tarzı CDN Kusurundan etkilenen kötü amaçlı yazılım barındırma sağlar
Github Yorumları Microsoft Repo URL'leri aracılığıyla kötü amaçlı yazılımları zorlamak için istismar edildi
Kaynak: Bleeping Computer