Bilgisayar korsanları, Raccoon Stealer, AsyncRAT ve RedLine şifre çalan kötü amaçlı yazılım bulaşmalarını masum kurbanlara dağıtmak için web siteleri, Discord grupları, sosyal hesaplar ve bir Orta geliştirici sitesi de dahil olmak üzere sahte bir ‘Cthulhu World’ oyna-kazan topluluğu oluşturdu.
Oynamak için oynanan oyunların popülaritesi arttıkça, dolandırıcılar ve tehdit aktörleri kötü niyetli faaliyetler için bu yeni platformları giderek daha fazla hedef alıyor.
Siber güvenlik araştırmacısı tarafından keşfedilen yeni bir kötü amaçlı yazılım dağıtım kampanyasında durum böyle. iamdeadlyztehdit aktörlerinin Cthulhu World adlı sahte bir oyna-kazan oyununu tanıtmak için bütün bir proje oluşturduğu yer.
“Projeyi” tanıtmak için tehdit aktörleri, Twitter’da kullanıcılara yeni oyunlarını test etmek isteyip istemediklerini soran doğrudan mesajlar gönderiyor. Oyunu test etme ve tanıtma karşılığında, iamdeadlyz diyor tehdit aktörlerinin Ethereum’da bir ödül vaat ettiğini.
Kullanıcılar, şu anda kapalı olan cthulhu-world.com sitesini ziyaret ederken, proje hakkında bilgiler ve oyun ortamlarının interaktif bir haritasını içeren iyi tasarlanmış bir web sitesi ile karşılaşıyorlar.
Ancak, bu site meşru bir sitenin bir klonu gibi görünüyor. Simya Dünyası projesiolan kullanıcıları uyarmak Sahte projeden uzak durmak için.
Cthulhu World web sitesinin de büyük bir farkı var; bir kullanıcı sitenin sağ üst köşesindeki oka tıkladığında, ziyaretçi onları projenin “alfa” testini indirmek için kod isteyen bir web sayfasına getirecektir.
Tehdit aktörleri, Twitter’daki DM konuşmalarının bir parçası olarak bu kodları potansiyel kurbanlarla paylaşır. Aşağıda gösterildiği gibi, sitenin kaynak kodunda erişim kodlarının bir listesi de bulunur.
Girilen koda bağlı olarak DropBox’tan üç dosyadan biri indirilecektir.
Üç dosyanın her biri farklı bir kötü amaçlı yazılım yükler ve muhtemelen tehdit aktörlerinin belirli bir kullanıcıyı nasıl hedeflemek istediklerini seçmelerine izin verir. AnyRun yüklemeleri tarafından tanımlanan üç kötü amaçlı yazılım zaman uyumsuz, Kırmızı Hat Hırsızıve rakun hırsızı.
6/
IOC’ler#RakunHırsız
436d6f0beaa8cc02b1a3227bcb7d5373
C&C: 213.252.244[.]230:80https://t.co/mT3DKguO92#AsyncRAT
0ae0184bc3d03a4981ec2baab0649434
C&C: 193.124.22[.]17:4449https://t.co/83h8q6ACLE#RedLineHırsızhttps://t.co/ElWxX9Xavf
C&C: 77.73.134[.]5:30812— iamdeadlyz.pcc.eth | YGG (@Iamdeadlyz) 25 Ağustos 2022
Cthulhu World için web sitesi şu anda kapalı, ancak Discordları aktif durumda. Bu Discord’da kimin sitenin kötü amaçlı yazılım dağıttığının farkında olduğu belli değil, ancak bazı kullanıcılar açıkça bunun meşru bir proje olduğuna inanıyor.
RedLine Stealer ve Raccoon Stealer’ın bilindiği gibi kripto para cüzdanlarını çalmakbazı kurbanların cüzdanlarını bu dolandırıcılıkla temizlediğini bulmak şaşırtıcı değil.
Cthulhu-world.com’u ziyaret ettiyseniz ve yazılımlarından herhangi birini indirdiyseniz, hemen bilgisayarınızda bir virüsten koruma taraması çalıştırmalı ve algılanan her şeyi kaldırmalısınız.
Ayrıca, bu kötü amaçlı yazılım enfeksiyonları kayıtlı şifrelerinizi, çerezlerinizi ve kripto cüzdanlarınızı çaldığından, tüm şifreleri sıfırlamalı ve kripto paranızı içe aktarmak için yeni cüzdanlar oluşturmalısınız.
Bununla birlikte, nihayetinde, en akıllıca eylem, bilgisayarınızı sıfırdan yeniden yüklemektir, çünkü bu kötü amaçlı yazılım bulaşmaları, virüslü bir bilgisayara tam erişim sağlar ve diğer algılanmayan kötü amaçlı yazılımlar yine de yüklenebilir.