Kaydol

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza kaydolun.

Oturum aç

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza giriş yapın.

Şifremi hatırlamıyorum

Şifreni mi unuttun? Lütfen e-mail adresinizi giriniz. Bir bağlantı alacaksınız ve e-posta yoluyla yeni bir şifre oluşturacaksınız.

3 ve kadim dostu 1 olan sj'yi rakamla giriniz. ( 31 )

Üzgünüz, Flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Discord kötü amaçlı yazılım kampanyası kripto ve NFT topluluklarını hedefliyor

Discord kötü amaçlı yazılım kampanyası kripto ve NFT topluluklarını hedefliyor

Discord’daki yeni bir kötü amaçlı yazılım kampanyası, kripto, NFT ve DeFi topluluklarını hedefleyen kötü amaçlı yazılımları gizlemek için Babadeda şifresini kullanır.

Babadeda, zararsız uygulama yükleyicileri veya programları gibi görünen kötü amaçlı yükleri şifrelemek ve karartmak için kullanılan bir şifreleyicidir.

Mayıs 2021’den itibaren, tehdit aktörleri Babadeda tarafından karartılmış uzaktan erişim truva atlarını kripto temalı Discord kanallarında meşru bir uygulama olarak dağıtıyor.

Karmaşık karartması nedeniyle, çok düşük bir AV algılama oranına sahiptir ve araştırmacılara göre Morphisec, enfeksiyon oranları hız kazanıyor.

Discord’da Kimlik Avı

Teslimat zinciri, yeni NFT düşüşleri veya kripto para birimi tartışmaları gibi kripto odaklı bir kitleden büyük bir izleyici kitlesinin keyfini çıkaran halka açık Discord kanallarında başlar.

Tehdit aktörleri bu kanallarda yayınlar veya potansiyel kurbanlara özel mesajlar göndererek onları bir oyun veya uygulama indirmeye davet eder.

Bazı durumlarda, aktörler “Mines of Dalarna” oyunu gibi mevcut blockchain yazılım projelerini taklit eder.

Discord'da kimlik avı gönderisi
Discord’da kimlik avı gönderisi
Kaynak: Morphisec

Kullanıcı kandırılır ve sağlanan URL’ye tıklarsa, gerçek olarak geçmesi kolay bir siber erişim alanı kullanan bir yem sitesinde sona erer.

Bu etki alanları geçerli bir LetsEncrypt sertifikası kullanır ve bir HTTPS bağlantısını destekleyerek dikkatsiz kullanıcıların dolandırıcılığı tespit etmesini daha da zorlaştırır.

Sahte ve gerçek bir site arasında karşılaştırma
Sahte ve gerçek bir site arasında karşılaştırma
Kaynak: Morphisec

Bu kampanyada kullanılan diğer yem siteleri aşağıda listelenmiştir:

Kötü amaçlı yazılım dağıtımı için oluşturulan klonlanmış siteler
Kötü amaçlı yazılım dağıtımı için oluşturulan klonlanmış siteler
Kaynak: Morphisec

Babadeda aldatmacası

Kötü amaçlı yazılım, yukarıdaki sitelerdeki “Şimdi Oynat” veya “Uygulamayı indir” düğmelerine tıkladıktan sonra indirilir ve ilk bakışta sıradan bir uygulama klasörü gibi görünen bir arşivde DLL’ler ve EXE dosyaları şeklinde gizlenir.

Kullanıcı yükleyiciyi yürütmeye çalışırsa, kurbanı hiçbir şey olmadığını düşünmesi için kandırmak için sahte bir hata mesajı alır.

Yine de, arka planda, kötü amaçlı yazılımın yürütülmesi devam eder, yeni iş parçacıkları yürütmek ve kalıcılık uygulayacak DLL’yi yüklemek için bir XML dosyasından adımları okur.

Bu kalıcılık, her ikisi de crypter’ın birincil yürütülebilir dosyasını başlatan yeni bir başlangıç klasörü öğesi ve yeni bir kayıt defteri Çalıştırma anahtarının yazılması yoluyla yapılır.

Babadeda yürütme akışı
Babadeda yürütme akışı
Kaynak: Morphisec

“Yürütülebilir .text bölümünün özellikleri RWE (Okuma-Yazma-Yürütme) olarak yapılandırılır – bu şekilde aktörün kabuk kodunu kopyalamak ve yürütmeyi aktarmak için VirtualAlloc veya VirtualProtect kullanması gerekmez.” – Morphisec

“Bu, bu işlevler güvenlik çözümleri tarafından yüksek oranda izlendiği için kaçınmaya yardımcı olur. Kabuk kodu yürütülebilir dosyaya kopyalandığında, DLL kabuk kodunun giriş noktasına (shellcode_address) çağırır.”

Babadeda, bilgi hırsızları, RAT’lar ve hatta LockBit fidye yazılımı dağıtan geçmiş kötü amaçlı yazılım kampanyalarında kullanılmıştır, ancak bu özel kampanyada Morphisec, Remcos ve BitRAT’ın düştüğünü gözlemlemiştir.

Remcos bir yaygın olarak kötüye kullanılan saldırganların kontrolü ele almak enfekte makinenin ve hesap kimlik bilgilerini çalma, tarayıcı çerezleri, daha fazla yük bırakın, vb.

Bu durumda, kampanya kripto topluluğunun üyelerini hedef aldığı için, cüzdanlarının, kripto para fonlarının ve NFT varlıklarının peşinde oldukları varsayılıyor.

Benzer Yazılar

Yorum eklemek için giriş yapmalısınız.