Devam eden bir kötü amaçlı yazılım kampanyası YouTube ve Facebook kullanıcılarını hedefler, bilgisayarlarını sosyal medya hesaplarını ele geçirecek ve cihazlarını kripto para birimi için kullanacak yeni bir bilgi stealer ile bulaşır.
Bitdefender'ın Gelişmiş Tehdit Kontrolü (ATC) ekibine sahip güvenlik araştırmacıları, yeni kötü amaçlı yazılımları keşfetti ve kaçınma tespiti için DLL sideloading'in kapsamlı kullanımı nedeniyle S1Deload Stealer adını verdi.
Bitdefender araştırmacısı Dávid Ács, "Temmuz ve Aralık 2022 arasında, Bitdefender ürünleri bu kötü amaçlı yazılımlarla enfekte olmuş 600'den fazla benzersiz kullanıcı tespit etti." Dedi.
Mağdurlar, yetişkin temalarıyla arşivleri (örneğin, hdsexygirl.zip, sexygirlalbum.zip ve daha fazlası) iten Facebook sayfalarında sosyal mühendislik ve yorumlar kullanarak kendilerini enfekte etmek için kandırılır.
Kullanıcı bağlantılı arşivlerden birini indirirse, bunun yerine geçerli bir Western dijital imzalı ve son yükü içeren kötü amaçlı bir DLL (wdsync.dll) ile imzalı bir yürütülebilir dosyası alacaktır.
Mağdurların cihazlarına yüklendikten sonra, S1Deload Stealer, operatörleri tarafından komut ve kontrol (C2) sunucusuna bağlandıktan sonra birkaç görevden birini gerçekleştirmeleri için talimat verilebilir.
Bitdefender'ın keşfettiği gibi, arka planda çalışan ve YouTube videolarında ve Facebook yayınlarındaki görünüm sayımlarını artırmak için insan davranışını taklit eden başsız bir krom web tarayıcısı da dahil olmak üzere ek bileşenleri indirebilir ve çalıştırabilir.
Diğer sistemlerde, kurbanın tarayıcısından ve giriş verileri SQLITE veritabanından veya kripto para birimini hareket ettirecek bir kriptajörden tasarruf edilen kimlik bilgilerini ve çerezleri şifresini çözen ve püsküren bir stealer da dağıtabilir.
Bir Facebook hesabı çalmayı başarıyorsa, kötü amaçlı yazılım, kurbanın bir Facebook sayfasının veya grubunun yöneticisi olup olmadığını, reklamlar için ödeme yaparsa veya bağlantılı olup olmadığını öğrenmek için Facebook Grafik API'sinden yararlanarak gerçek değerini tahmin etmeye çalışacaktır. bir işletme yöneticisi hesabına.
Ács, "Vahşi doğada gözlemlediğimiz stealer bileşeni, kurbanın tarayıcısından kaydedilen kimlik bilgilerini çalıyor ve bunları kötü amaçlı yazarın sunucusuna ekledi."
"Kötü amaçlı yazılım yazarı, sosyal medyada spam yapmak ve daha fazla makineyi enfekte etmek için yeni elde edilen kimlik bilgilerini kullanıyor ve geri bildirim döngüsü oluşturuyor."
Enfekte olmaktan ve sosyal medya hesaplarınızın kaçırılmasını önlemek için, asla bilinmeyen kaynaklardan yürütülebilir dosyalar çalıştırmamalı ve her zaman kötü amaçlı yazılımla mücadele yazılımınızı güncel tutmamalısınız.
Bu kötü amaçlı yazılım kampanyasıyla bağlantılı uzlaşma (IOCS) ve Yara kurallarının göstergeleri Bitdefender'ın Teknik Deposu'nun (PDF) sonunda mevcuttur.
Tehdit İstihbarat Şirketi Sekoia ayrıca Stealc olarak bilinen yeni bir bilgi çalma suşunu tespit etti ve karanlık web'de reklamı yaptı ve kullanımı kolay bir yönetim paneli ve kapsamlı veri çalma özelliklerine sahip forumları hackledi.
S1Deload Stealer'ın aksine, Stealc kötü amaçlı yazılım, ViDar, Redline, Raccoon ve Mars gibi diğer bilgi çalıcılarını zorlamak için kullanılan son derece popüler bir taktik olan sahte çatlak yazılımlarla dağıtılır.
Yeni Stealc kötü amaçlı yazılım, çok çeşitli çalma özellikleriyle ortaya çıkıyor
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Bilgisayar korsanları, bilgi kullanan kötü amaçlı yazılımları zorlamak için sahte kripto iş tekliflerini kullanır
Bilgisayar korsanları, Windows, Android kötü amaçlı yazılımları itmek için sahte chatgpt uygulamalarını kullanır
Microsoft Exchange Proxyshell Kusurları Yeni Kripto Maden Saldırısı
Kaynak: Bleeping Computer