Çevrimiçi satıcılar, VIDAR bilgi çalan kötü amaçlı yazılımları zorlamak için yeni bir kampanya hedefliyor ve tehdit aktörlerinin daha zararlı saldırılar için kimlik bilgilerini çalmasına izin veriyor.
Yeni kampanya bu hafta başlatıldı ve tehdit aktörleri e -posta ve web sitesi iletişim formları aracılığıyla çevrimiçi mağaza yöneticilerine şikayet gönderiyor.
Bu e -postalar, iddia edilen bir siparişin düzgün bir şekilde geçmedikten sonra banka hesaplarından 550 dolar düşmüş bir çevrimiçi mağazanın müşterisinden geliyormuş gibi davranıyor.
BleepingComputer bu hafta bu e -postalardan birini aldı ve saldırıyı araştırdıktan sonra, geçen hafta Virustotal'a gönderilen birçok başvuru ile yaygınlaştı.
Çevrimiçi satıcılar, e -ticaret sitelerinin arka ucuna kimlik bilgileri kazandığı için tehdit aktörleri için sulu bir hedeftir.
Örneğin, bir tehdit oyuncusu bir çevrimiçi mağazanın yönetici arka ucuna erişim kazandıktan sonra, Magecart saldırılarını gerçekleştirmek için kötü amaçlı JavaScript komut dosyaları enjekte edebilir, bu da kodun ödeme sırasında müşterilerin kredi kartlarını ve kişisel bilgilerini çaldığı zamandır.
Arka uç erişimi, mağazanın veritabanı için kurbanları zorlamak için kullanılabilen, fidye ödemeleri veya verilerin kamuya açık veya diğer tehdit aktörlerine satılması tehdidinde bulunabilecek bir sitenin müşteri bilgilerini çalmak için de kullanılabilir.
Bu haftanın başlarında, BleepingComputer, bir sipariş düzgün bir şekilde geçmemiş olsa da, aşağıda görüntülenen 550 $ ücretlendirilmiş bir müşteriden gibi davranan bir e -posta aldı.
"Web sitenizde yaptığım son işlemle ilgili derin endişemi ve hayal kırıklığımı iletmek için yazıyorum. 14 Mayıs 2023'te dükkanınızdan 550 doların üzerinde ürünler için bir satın alma işlemi yaptım. Ancak, hemen dikkatinizi çekmesi gereken önemli bir sorun ortaya çıkmıştır. Satın alma işlemini tamamladıktan hemen sonra, web sayfanızda hata sinyaliyle karşılaştım, ödemeyi yapamadığını ve banka kartımdan hiçbir finansman alınmadığını belirttim. Şaşırtıcı bir şekilde, banka hesabımı inceledikten sonra, ödemenin gerçekten yürütüldüğünü ve aynı miktarın geri çekildiğini keşfettim. Bu sorunu maksimum aciliyetle ele almanızı ve sorunu hızlı bir şekilde çözmenizi tavsiye ediyorum. Bu tutarsızlığın nedenini analiz etmeniz ve çıkarılan para miktarını iade etmek için derhal eylemlerde bulunmanız önemlidir. İncelemeniz ve satın alma kanıtı olarak, aşağıda banka ekstremin bir kopyasını sundum, bu da açıkça fonların geri çekilmesini gösteriyor. Bu, ödemenin nihai kanıtı olarak hareket etmeli ve tüm geri ödemenin aciliyetini vurgulamalıdır. Acil eylemlerinize gerçekten değer vereceğim. İşte benim ifademin köprü https://bit.ly/xxxx "
Yukarıdaki e -postaya eklenen, iddia edilen banka tablosuna bir bağlantıdır, orijinal bağlantıyı gizlemek için kısaltılmıştır.
E -posta, perakendecinin geri ödeme yapmasını ve sorunun temel nedenini araştırmasını talep eden bir aciliyet hissi vermek için yazılmıştır.
URL'yi tıklarken, hedeflere Google Drive gibi davranan bir web sitesi gösterilecektir. BleepingComputer'ın testlerinde, bu sahte Google Drive ya bir banka ekstresi görüntüler veya kullanıcıyı banka ekstresini indirme isteyecektir.
Bu kampanyayla ilişkilendirildiğine inanılan alanlar şunlardır:
Site banka beyanını görüntülerse, Commerce Bank'tan "Jane Müşterisi" gibi "Anywhere Dr."
Ancak, diğer testler bir önizlemenin kullanılamadığını söyleyen ve kullanıcıyı 'Bank_Statement.pdf' i indirmesini isteyen sahte bir Google Drive sayfası görüntülenir. Ancak, bunu yapmak aslında 'Bank_statement.scr' adlı bir yürütülebilir dosyayı indirecektir.
Virustotal üzerindeki antivirüs sağlayıcıları bunu sadece genel bir bilgi çalmacı olarak algılarken, kaydedilen Future'ın triyajı bunu Vidar bilgi çalan kötü amaçlı yazılım olarak tespit etti.
Vidar, tarayıcı çerezlerini, tarayıcı geçmişini, kaydedilmiş şifreleri, kripto para cüzdanlarını, metin dosyalarını, Authy 2FA veritabanlarını ve aktif Windows ekranının ekran görüntülerini çalabilen bir bilgi çalan bir Truva atıdır.
Bu bilgiler daha sonra saldırganların toplayabilmesi için uzak bir sunucuya yüklenecektir. Verileri gönderdikten sonra, dosya koleksiyonu enfekte edilmiş makineden kaldırılacak ve boş klasörlerle dolu bir dizinin arkasında bırakılacaktır.
Tehdit aktörleri çalınan bilgileri aldıktan sonra, kimlik bilgilerini diğer tehdit aktörlerine satar ya da kurban tarafından kullanılan hesapları ihlal etmek için kullanırlar.
Benzer e -postalar aldıysanız ve bu kötü amaçlı yazılım dağıtım kampanyasından etkilendiğinize inanırsanız, bilgisayarınızı derhal kötü amaçlı yazılım için taramanız ve bulunan her şeyi kaldırmanız çok önemlidir.
Daha fazla saldırıyı önlemek için, özellikle çevrimiçi ticaret siteleriniz, banka hesaplarınız ve e -posta adreslerinizle ilişkili olanlar, tüm hesaplarınızda şifrenizi değiştirmelisiniz.
Son olarak, HTML şablonlarına enjekte edilen kaynak kodunu kontrol etmek için e -ticaret sitenizi, yüksek ayrıcalıklara sahip yeni hesaplar veya sitenin kaynak kodunda değişiklikleri iyice araştırın.
Yeni Horabot kampanyası kurbanın Gmail'i devraldı, Outlook Hesapları
Romcom kötü amaçlı yazılım, chatgpt, gimp, daha fazla google reklamları aracılığıyla yayıldı
QBOT kötü amaçlı yazılım, cihazları enfekte etmek için Windows Wordpad exe'yi kötüye kullanır
Microsoft 365 kimlik avı saldırıları şifreli RPMSG mesajları kullanıyor
"Operasyon Magalenha" 30 Portekiz bankasının kimlik bilgilerini hedefliyor
Kaynak: Bleeping Computer