Bilgi Çalma Kötü Amaçlı Yazılım Yazılımları Tinynuke, fatura kullanıcılarını fatura-temalı lures ile, imalat, teknoloji, inşaat ve iş hizmetlerinde çalışan kurumsal adreslere ve bireylere gönderilen bir kampanyada yeni bir kampanyada yeniden ortaya çıktı.
Bu kampanyanın amacı, kimlik bilgilerini ve diğer özel bilgileri çalmak ve uzlaşmış bir sisteme ek yükler yüklemektir.
Tinynuke kötü amaçlı yazılım aktivitesi ilk önce 2017'de sonuçlandı, 2018'de sonuçlandı, daha sonra 2019'da önemli ölçüde düştü ve 2020'de varoluştan neredeyse soldu.
2021'de belirli kötü amaçlı yazılım gerginliğini konuşlandıran yeni saldırıların gözlenmesi şaşırtıcı değil, tamamen beklenmedik değildir.
Bu kampanyaları takip eden provousta araştırmacılara göre, bu yeniden ortaya çıkan, ayrı C2 altyapısı, yük yükleri ve cezaları olan iki farklı aktivite kümesi ile ortaya çıkıyor.
Bu, kötü amaçlı yazılımın ilk tinynuke aktörleriyle ilişkili olduğu ve bir tanesini tipik olarak emtia araçları kullanan aktörlerle ilişkilendirilen iki farklı aktör tarafından kullanıldığını da gösterebilir.
Son olarak, 2018'de görüldüğü gibi piloksi dağılımına veya bu sefer başka bir fidye yazılımı enfeksiyonu ile örtüşme yoktur.
Oyuncu, Yürütülebilir bir yazılım olarak maskelenirken, taşıma yükü URL'yi barındırmak için meşru Fransız web sitelerini tehlikeye atar.
C2 iletişimi için, en son kampanyalar, 2018'den beri kullanılan yöntem olan Tor'u kullanır.
Bu iletişimde kullanılan "Nikoumouk" dizelerinden biri, 2018 analizinde keşfedilen bir argo terimiyle aynıdır, bu kampanyayı orijinal tehdit aktörlerine daha da bağlayın.
"Prova noktası araştırmacıları," Nikoumouk "dizgisini bilinmeyen bir amaç için C2 sunucusuna gönderildi. Bilgi paylaşım ortakları ve açık kaynak bilgiye göre, önceki kampanyaların 2018'den bu yana önceki kampanyalardaki C2 iletişimindeki C2 iletişimindeki dizgiyi kullandılar" dedi.
"Dize, çoğunlukla Avrupa'daki Fransızca konuşan banliyölerde kullanılan popüler Arapça'da hakarettir."
Mevcut kampanyalarda e-postalar, ZIP dosyalarını indiren URL'leri içerir. Bu ZIP dosyaları, Tinynuke kötü amaçlı yazılımını indirmek ve yürütmek için PowerShell komutlarını çalıştıracak bir JavaScript dosyası içerir.
Yetenekler açısından, TinyNuke Yükleyici, Firefox, Internet Explorer ve Chrome için form kapma ve web-enjekte yetenekleriyle kimlik bilgilerini çalabilir ve ayrıca ek yükler yükleyebilir.
Kalıcılık, aşağıda gösterildiği gibi yeni bir kayıt defteri anahtarı eklenerek güvence altına alınır:
Devam eden kampanyalar belirli lazılar kullansa da, aktörler alıcıları yeni yemlerle sunmak için mesajlarını güncelleyebilirler.
Ayrıca, eğer yeni aktörler TinyNike kullanıyorsa, orijinal yazarların karanlık ağda sattıkları ve kodu, bir noktada bir noktada Github'da serbest bırakıldığından beri bağımsız olarak dolaşıyor olabilir.
Her iki durumda da, dağıtımı daha da artabilir ve hedeflere karşı konuşlandırılan e-posta aralığı çok geniş olabilir.
Düşük kalmak için çok önemlidir ve kötü amaçlı sıkıştırılmış çalıştırılabilir dosyaları barındıran sitelere yol açan gömülü düğmelere tıklanmaktan kaçının.
Bu siteler aksi halde meşru olduğundan, İnternet güvenlik çözümünüzün bayraklarını kaldıramayabilir, bu nedenle aşırı dikkatli.
Flubot Android Malware şimdi sahte güvenlik güncellemeleri ile yayılır
Bilgi Çalma Trojan tarafından enfekte dokuz milyondan fazla Android cihazının üzerinde
Android kötü amaçlı yazılım Brazking, gizli bir bankacılık truvası olarak döndürür
Emotet Malware geri döndü ve botnetini Trickbot üzerinden yeniden inşa ediyor
Yılan kötü amaçlı yazılımları sadece 25 $ için 50 uygulamada sert ısırma
Kaynak: Bleeping Computer