Parolalarınızı, kredi kartlarınızı ve kripto cüzdanlarınızı çalan kötü amaçlı yazılımlar, CCleaner Pro Windows Optimizasyon Programının korsan bir kopyası için arama sonuçları ile tanıtılıyor.
Bu yeni kötü amaçlı yazılım dağıtım kampanyası “Fakecrack” olarak adlandırıldı ve Avast'ta her gün müşteri telemetri verilerinden ortalama 10.000 enfeksiyon denemesi tespit ettiğini bildiren analistler tarafından keşfedildi. Bu kurbanların çoğu Fransa, Brezilya, Endonezya ve Hindistan'da bulunmaktadır.
Bu kampanyada dağıtılan kötü amaçlı yazılımlar, kişisel verileri ve kripto para birimi varlıklarını toplayabilen ve veri toplayan vekiller aracılığıyla internet trafiğini yönlendirebilen güçlü bir bilgi çalmacıdır.
Tehdit aktörleri, Google arama sonuçlarında kötü amaçlı yazılım web sitelerini yükseltmek için Black Hat SEO tekniklerini takip eder, böylece daha fazla kişinin bağcıklı yürütülebilir dosyaları indirmesi için kandırılır.
Avast tarafından görülen cazibe, birçok kullanıcı tarafından hala “olmazsa olmaz” bir hizmet olarak kabul edilen popüler bir Windows sistemi temizleyici ve performans optimize edici olan CCleaner Professional'ın çatlamış bir sürümüdür.
Zehirlenmiş arama sonuçları, kurbanı, nihayetinde bir zip dosyası indirme sunan bir açılış sayfası görüntüleyen birkaç web sitesinden alır. Bu açılış sayfası genellikle fileSend.jp veya mediafire.com gibi meşru bir dosya barındırma platformunda barındırılmaktadır.
ZIP, yükü anti-virüs algılamasından korumak için sadece orada olan “1234” gibi zayıf bir pim kullanılarak şifre korumalıdır.
Arşivin içindeki dosya genellikle “setup.exe” veya “cracksetup.exe” olarak adlandırılır, ancak Avast bu kampanyada kullanılan sekiz farklı yürütülebilir dosyayı görmüştür.
Kötü amaçlı yazılım kurbanları, hesap şifreleri, kaydedilmiş kredi kartları ve kripto para birimi cüzdan kimlik bilgileri gibi web tarayıcılarında depolanan bilgileri çalma girişimlerini yüklemek için kandırılır.
Ayrıca, kopyalanan cüzdan adresleri için panoyu izler ve ödemeleri yönlendirmek için kötü amaçlı yazılım operatörlerinin kontrolü altındaki kişilerle değiştirir. Bu pano kaçırma özelliği, Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin ve Bitcoin nakit adresleri dahil olmak üzere çeşitli kripto para birimi adresleriyle çalışır.
Kötü amaçlı yazılım ayrıca, kurbanın tespit etmesi veya gerçekleştirmesi için çok zor olan ortadaki bir saldırı kullanarak kripto para piyasası hesap kimlik bilgilerini çalmak için vekiller kullanır.
“Saldırganlar, kötü niyetli proxy otomatik konfigürasyon komut dosyası (PAC) indirmek için bir IP adresi ayarlayabildiler,” diye açıklıyor Raporda Avast.
“Bu IP adresini sistemde ayarlayarak, kurban listelenen alanlardan herhangi birine her eriştiğinde, trafik saldırganın kontrolü altındaki bir proxy sunucusuna yönlendirilir.”
Bu proxy mekanizması, “HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Ayarları” nda yeni bir kayıt defteri anahtarı aracılığıyla eklenir.
Mağdurlar, Windows ayarlarında Network & Internet'e giderek ve "Proxy Server kullanın" seçeneğini kapatarak devre dışı bırakabilir.
Kampanya zaten yaygındır ve enfeksiyon oranları yüksektir, bu nedenle indirme siteleri Google aramasında yüksek olsa bile, her yerden çatlak yazılım indirmekten kaçının.
Yeni güçlü Prynt Stealer Malware ayda sadece 100 $ satıyor
Clipminer Malware Gang, kripto ödemelerini kaçırarak 1.7 milyon dolar çaldı
Sahte binance nft gizemli kutu botları kurbanın kripto cüzdanlarını çalın
Yeni kriptomingining kötü amaçlı yazılım bir Windows ordusu oluşturur, Linux Bots
Eternity Malware kiti stealer, madenci, solucan, fidye yazılımı araçları sunar
Kaynak: Bleeping Computer