Siber Suçlular Radarın Altında Uçmak İçin Yeni ASMCrypt Kötü Amaçlı Yazılım Yükleyicisini Kullanıyor - Dünyadan Güncel Teknoloji Haberleri

Siber Suçlular Radarın Altında Uçmak İçin Yeni ASMCrypt Kötü Amaçlı Yazılım Yükleyicisini Kullanıyor - Dünyadan Güncel Teknoloji Haberleri
PDF sitesini taklit eden sahte bir web sitesi aracılığıyla dağıtılan kötü amaçlı yazılımla ortalıkta tespit edildi

Kaspersky, “Uygulama,

DoubleFinger ilk olarak Rus siber güvenlik şirketi tarafından belgelendi ve TebrikGhoul adlı bir kripto para hırsızını Avrupa, ABD ve Latin Amerika’daki kurbanlara yaymak için kötü amaçlı yazılımdan yararlanan enfeksiyon zincirlerini ayrıntılarıyla anlattı

Müşteriler tarafından satın alınıp piyasaya sürülen ASMCrypt, sabit kodlanmış kimlik bilgilerini kullanarak TOR ağı üzerinden bir arka uç hizmetiyle iletişim kurmak ve böylece alıcıların kampanyalarında kullanmak üzere seçtikleri verileri oluşturmasına olanak sağlamak üzere tasarlanmıştır LNK dosyalarını içeren sıkıştırılmış arşiv (

Kaspersky, “Kötü amaçlı yazılımlar, değişen işlevlere sahip birden fazla varyasyona sahip olan Lumma Stealer’ın da gösterdiği gibi, sürekli olarak gelişiyor ” söz konusu bilgi hırsızlığı kötü amaçlı yazılım Lumma Stealer olarak adlandırılan kötü amaçlı yazılım, meşru bir LNK) ve DOCX to söz konusu ” dedi

Intel 471, “Bu çaba kapsamında, tehdit aktörleri Windows kısayolunu ( tarafından algılanmadan yüklemektir pdf ”

Yükleyiciler, çeşitli tehdit aktörleri tarafından fidye yazılımı saldırıları, veri hırsızlığı ve diğer kötü amaçlı siber faaliyetler gerçekleştirmek üzere ağlara ilk erişim sağlamak için kullanılabilecek bir kötü amaçlı yazılım dağıtım hizmeti olarak hareket etme yetenekleri nedeniyle giderek daha popüler hale geldi

Siber suç ekonomisinin olgunlaştığının bir işareti olarak, daha önce ayrı olduğu varsayılan tehdit aktörleri, GuLoader ile Remcos RAT arasındaki “karanlık ittifak” örneğinde de görüldüğü gibi, diğer gruplarla ortaklık kurdu io, “CustomerLoader’ın büyük ihtimalle Hizmet Olarak Yükleyici ile ilişkili olduğunu ve birden fazla tehdit aktörü tarafından kullanıldığını” belirtti

Siber güvenlik firması “EMINэM takma adı altında faaliyet gösteren bir kişi, Remcos ve GuLoader’ı açıkça satan BreakingSecurity ve VgoStore web sitelerini yönetiyor” söz konusu ZIP) dosyalarını dağıtmak için kötü amaçlı spam e-postalarından yararlandı PNG dosyasının içine gizlenmiş şifreli bir blob oluşturuyor” dedi ”

Geliştirme, bir uygulamanın yeni versiyonları olarak geliyor “Kullanıcı tarafından etkinleştirildiğinde, bu LNK dosyaları, WebDAV sunucularında barındırılan Bumblebee kötü amaçlı yazılımını indirmek için tasarlanmış önceden belirlenmiş bir dizi komutu çalıştırır IceID saldırıları

Kaspersky, “Bu tür kötü amaçlı yazılımların ardındaki fikir, son yükü, yükleme işlemi olmadan veya yükün kendisi AV/EDR vb

Sekoia İlginçtir ki, CustomerLoader tarafından indirilen tüm veriler dotRunpeX yapılarıdır ve bunlar da son aşamadaki kötü amaçlı yazılımı dağıtır “Bu resim bir resim barındırma sitesine yüklenmelidir ”

Öte yandan Bumblebee, iki aylık bir aradan sonra Ağustos 2023’ün sonlarına doğru, yükleyiciyi yaymak için Web Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) sunucularını kullanan yeni bir dağıtım kampanyasıyla yeniden ortaya çıktı; bu, daha önce 2023’te benimsenen bir taktikti ASMCryptDoubleFinger olarak bilinen başka bir yükleyici kötü amaçlı yazılımın “gelişmiş versiyonu” olarak tanımlanan

Buna, çeşitli kötü amaçlı yazılımlar sunmak için kullanılan Bumblebee, CustomerLoader ve GuLoader gibi yeni ve köklü oyuncular da dahildir


Tehdit aktörleri, yeni bir şifreleyici ve yükleyici satıyor

Bu nedenle, bir dosya yüklendiğinde web sitesi, yürütüldüğünde virüslü ana bilgisayarlardan hassas bilgileri toplayan çift “ ”

Yükleyici, komut ve kontrol sunucusu (C2) iletişimleri için WebSocket protokolünü kullanmaktan TCP’ye ve ayrıca C2 sunucularının sabit kodlu listesinden, aşağıdakileri hedefleyen bir etki alanı oluşturma algoritmasına (DGA) geçiş yapan güncellenmiş bir varyanttır: Alanın yayından kaldırılması karşısında dayanıklı olmasını sağlayın

Lumma Stealer’ın, son birkaç yılda Vidar, Oski ve Mars’a dönüşen Arkei adlı bilinen bir hırsız kötü amaçlı yazılımın en son çatalı olduğunu belirtmekte fayda var

Görünüşte yasal bir yazılım olarak tanıtılsa da, Check Point’in yakın zamanda yaptığı bir analiz, GuLoader’ın ağırlıklı olarak Remcos RAT’ı dağıtmak için kullanıldığını ortaya çıkardı; eskisi artık TheProtect adı verilen ve yükünü güvenlik yazılımı tarafından tamamen tespit edilemez hale getiren bir şifreleyici olarak satılıyor

“Bu hizmetlerin arkasındaki kişiler, siber suçlu topluluğuyla derinden iç içe geçmiş durumda; platformlarını yasa dışı faaliyetleri kolaylaştırmak ve kötü amaçlı yazılım yüklü araçların satışından kâr elde etmek için kullanıyor



siber-2

“CustomerLoader’ın, dotRunpeX enjektörünün geliştiricisi tarafından çalıştırılmasından önce eklenen yeni bir aşama olması mümkündür ” söz konusu Bu hafta yayınlanan bir analizde exe” uzantılı bir PDF gibi görünen kötü amaçlı bir ikili dosya döndürür