Siber güvenlik araştırmacıları, korsan yazılımların kopyalarını indirmeye çalışan internet kullanıcılarını hedef alan devam eden çok sayıda kötü amaçlı yazılım dağıtım kampanyası keşfetti.
Kampanya, kötü amaçlı shareware sitelerini Google Arama sonuçlarında üst sıralara çıkarmak için SEO zehirlenmesi ve kötü amaçlı reklamcılık kullanıyor, sahte yazılımların yanı sıra crack’ler ve ürün etkinleştirme anahtarı oluşturucuları da teşvik ediyor.
Onları keşfeden Zscaler’e göre, devam eden kampanyalarda kurbanları cezbetmek için kullanılan yazılım şunları içeriyor:
- Adobe Acrobat Pro
- 3D İşareti
- 3DVista Sanal Tur Pro
- 7-Veri Kurtarma Paketi
- MAGIX Sound Force Pro
- Wondershare Dr.Fone
Çoğu durumda, vaat edilen yazılım yükleyicileri gibi görünen kötü amaçlı yürütülebilir dosyalar dosya barındırma hizmetlerinde barındırılır, bu nedenle açılış sayfaları kurbanları dosyaları indirmeleri için diğer hizmetlere yönlendirir.
IoC bölümünde bahsedilen sahte shareware web sitelerinden bazıları Zscaler’ın raporu:
- xproductkey[.]com
- tüm çatlaklar[.]kuruluş
- prolisans anahtarları[.]com
- derin prostore[.]com
- Buhar kilidi açılmış[.]bir
- getmaco’lar[.]kuruluş
Kötü amaçlı dosyaları dağıtan yönlendirme siteleri daha az süslü adlara sahiptir ve “xyz” ve “cfd” üst düzey etki alanlarında bulunur.
İndirilen dosyalar, AV taramalarından kaçmak için 1.3MB’lık parola korumalı bir ZIP ve parolalı bir TXT dosyası içeren arşivlerdir.
Bayt dolgusu kullanılarak 600 MB’a kadar olan paketlenmemiş ZIP balonlarının boyutu, birçok kötü amaçlı yazılım yazarı tarafından takip edilen yaygın bir analiz önleme uygulamasıdır.
İçerilen yürütülebilir dosya, korumalı alan analizinden kaçmak için 10 saniyelik bir zaman aşımından sonra bir Windows komut istemini (cmd.exe) başlatan kodlanmış bir PowerShell komutu oluşturan bir kötü amaçlı yazılım yükleyicisidir.
Cmd.exe işlemi, gerçekte içeriği tersine düzenlenmiş bir DLL dosyası olan bir JPG dosyasını indirir.
Yükleyici, içerikleri doğru sırada yeniden düzenler, son DLL’yi, bir RedLine Stealer yükünü türetir ve onu mevcut iş parçacığına yükler.
kırmızı çizgi hırsızı web tarayıcılarında depolanan parolaları, kredi kartı verilerini, yer imlerini, çerezleri, kripto para birimi dosyalarını ve cüzdanlarını, VPN kimlik bilgilerini, bilgisayar ayrıntılarını ve daha fazlasını sifonlayabilen güçlü bir bilgi çalan kötü amaçlı yazılımdır.
Bazı durumlarda, Zscaler, tehdit aktörlerinin, şaşırtma ve tespitten kaçınma için Themida aracıyla dolu ‘RecordBreaker’ hırsız kötü amaçlı yazılımının kopyalarını düşürdüğünü fark etti.
Bu RecordBreaker tarafından hedeflenen bilgiler benzer şekilde kapsamlıdır, bu nedenle nihai yük kurbanlar için fazla bir fark yaratmaz.
Her ikisinden de korunmak için korsan yazılımları, ürün etkinleştiricileri, crack’leri, seri anahtar oluşturucuları ve ücretli yazılımlara ödeme yapmadan erişim vaat eden herhangi bir şeyi indirmekten kaçının.
Bu yalan vaatlerde bulunan siteler arama sonuçlarında üst sıralarda çıksalar bile bu onları meşru veya güvenilir yapmaz.
Haziran ayında benzer bir ‘Black Hat SEO’ kampanyasının zehirli yayıldığını bildirmiştik. CCleaner Pro’nun korsan kopyaları bilgi çalan kötü amaçlı yazılım içeren.