BleepingComputer, sitemizi yatırmak veya satın almak isteyen bir "Venture Kapitalist" firmasıyla temasa geçti. Ancak, daha sonra keşfettiğimiz gibi, bu, cihazlarımıza uzaktan erişim sağlayan kötü amaçlı yazılımları yüklemek için tasarlanmış kötü amaçlı bir kampanyaydı.
Geçtiğimiz hafta, BleepingComputer, birleşik krallık sanal sunucu şirketi'ne ait bir IP adresinden iletişim formumuza bir e-posta aldı.
Bu e-posta, aşağıda listelenen tüm e-posta ile BleepingComputer'ı yatırmak veya satın almakla ilgilenen bir girişim kapitalistinden biri gibi davrandı.
"Merhaba, umut verici projelere yatırım yapan bir grup girişim grubuyuz. Web sitenizi gördük ve ürününüz tarafından şaşırdık. Projenizdeki payın bir bölümünü yatırım yapma veya satın alma fırsatını tartışmak istiyoruz. Lütfen bizimle telefonla veya Vuxner sohbetinde iletişime geçin. Ajanınız Philip Bennett. Vuxner'daki kullanıcı adı PhilipBennett, en kısa sürede bizimle iletişime geçtiğinizden emin olun, çünkü biz genellikle tekliflerimizle bu kadar cömert değiliz. Şimdiden teşekkür ederim!"
Siber güvenliği hakkında yazmak, o kadar uzun süredir, e-posta, mesajlaşma ve bilinmeyen web sitelerini ziyaret eden paranoyakım. Böylece hemen e-postadan şüphelendim, sanal bir makine ve VPN'yi kovdu ve Vuxner için bir arama yaptım.
Google, 'Vuxner,' için bir tanesi, iyi tasarlanmış ve meşru görünümlü bir Vuxner [.] COM, "Vuxner Sohbeti - ücretsiz anlık mesajlaşma ile bir sonraki gizlilik seviyesini destekleyen bir site var."
Bu, "Vuxner Chat" olduğu gibi, e-postalarında referans verilen tehdit aktörleri, BleepingComputer'ı indirmeye ve sanal bir makineye çalıştırmayı denedi.
BleepingComputer, VuxnerChat.exe indirin [Virustotal] 'nin "Trillian" mesajlaşma uygulamasını yüklediğini ve ardından Trillian'ın yüklendikten sonra bilgisayara daha fazla kötü amaçlı yazılımları indirdiğini buldu.
Bu tür bir kampanya, geçmişte uzak erişimi ve şifre çalan diğer kampanyalara benzer bir şekilde göründüğü için, BleepingComputer, daha önce BleepingComputer'ın geçmişte benzer kötü amaçlı yazılım saldırılarını teşhis etmesine yardımcı olan siber güvenlik firması kümesine ulaştı.
Cluster25 Araştırmacıları, Vuxner [.] COM'un CloudFlare'nin arkasında barındırıldığı BleepingComputer ile koordine edilen bir raporda açıklamaktadır, ancak hala barındırma sunucusunun gerçek adresini 86.104.15 [.] 123'te belirleyebilirler.
Araştırmacılar, Vuxner sohbet programının, uzaktan erişim Trojan olarak kullanılan Rurat olarak bilinen bir uzak masaüstü yazılımı kurmak için bir ayrıştırma olarak kullanıldığını belirtir.
"Bu kampanya için enfeksiyon zinciri, yemeğin URL'sinin" Trillian "adlı bir yazılım ve yükleyicinin, yükleyicinin kötü niyetli amaçlar için kullanılan Rurat olarak bilinen meşru bir uzak masaüstü yazılımı düşürdüğü bir yazılım bıraktığı bir yumruk aşamasında bölünebilir." Küme25 araştırmacıları açıklar.
Bir kullanıcı Vuxner Trillian istemcisini kurduktan ve yükleyiciyi çıkardıktan sonra, HTTPS: // Vuxner [.] COM / Setup.exe'den bir Setup.exe çalıştırılabilir [virustotal] indirip çalıştırır.
Yapıldığında, kurban, çeşitli parti dosyaları, VBS komut dosyaları ve cihaza rurat yüklemek için kullanılan diğer dosyaları içeren bir C: \ SWRBLDIN klasörü ile bırakılır.
Garip bir şekilde, hem Cluster25 hem de BleepingComputer, sıçan kurulumunun yazılımın kurulumunu onaylamamızı istediğini gördü. Bu derhal, özensiz bir hediye, nefarious'un gerçekleştiği ve görüntülendiğinde derhal şüpheye neden olması gerektiğidir.
Cluster25, BleepingComputer'a, tehdit aktörlerinin bu saldırıyı bir cihaza ilk erişim kazandırmak ve ardından ana bilgisayarın üzerinde kontrol altına almak için bu saldırıyı kullandığını söyledi.
Hostu kontrol ettikten sonra, kimlik bilgilerini ve hassas verileri arayabilir veya bir ağda yanal olarak yayılacak cihazı bir launchpad olarak kullanabilirler.
Gördüğünüz gibi, tehdit aktörleri, mağdurlarına bulaştırmak için sahte siteler, özel montajcılar ve hedeflenen e-postalardan oluşan ayrıntılı kampanyalar oluşturmaya isteklidir.
Bu nedenle, tüm işletme sahipleri ve tüketicilerin, onlarla iletişim kurmak için bir şey indirmeniz gerektiğini belirten olağandışı e-postalardan temkinli olmaları gerekir.
Alınan bir BleepingBomputer gibi e-posta almak, otomatik olarak şüpheli olarak görülmeli ve alıcılar belirli bir yazılımın meşru olup olmadığını belirlemek için araştırmalar yapmalıdır.
Özel bir programla ilgili tek bir sonucu aramak ve görmek, programın kaçınılması gerektiğini belirten büyük bir kırmızı bayraktır.
Şu anda, BleepingComputer, bu kötü amaçlı kampanya tarafından hedeflenen diğer şirketlerin veya medya kuruluşlarının farkında değil, bunun sınırlı bir mızraklı kimlik avı kampanyası olduğunu gösteriyor.
Rusya-Ukrayna Savaşı, kötü amaçlı yazılım dağıtım için yem olarak sömürüldü
Alman Govt APT27 Hacker'ların Backdooring Business Network'lerini uyardı
Android Malware BRATA Verileri çaldıktan sonra cihazınızı siler
Hata! Siber, kendilerini kendi kötü amaçlı yazılımları ile bulaştırdılar.
Gizli Blister Malware Windows sistemlerinde farkedilmeden kayıyor
Kaynak: Bleeping Computer