Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

TinyNuke bilgi çalan kötü amaçlı yazılım yine Fransız kullanıcılara saldırıyor

TinyNuke bilgi çalan kötü amaçlı yazılım yine Fransız kullanıcılara saldırıyor

Bilgi çalan kötü amaçlı yazılım TinyNuke, kurumsal adreslere gönderilen e-postalardaki fatura temalı yemlerle Fransız kullanıcıları ve üretim, teknoloji, inşaat ve iş hizmetlerinde çalışan bireyleri hedefleyen yeni bir kampanyada yeniden ortaya çıktı.

Bu kampanyanın amacı, kimlik bilgilerini ve diğer özel bilgileri çalmak ve güvenliği ihlal edilmiş bir sisteme ek yükler yüklemektir.

TinyNuke’un yeniden ortaya çıkışı

TinyNuke kötü amaçlı yazılım etkinliği ilk olarak 2017’de ortaya çıktı, 2018’de doruğa ulaştı, ardından 2019’da önemli ölçüde düştü ve 2020’de neredeyse yok oldu.

2021’de belirli kötü amaçlı yazılım türünü dağıtır yeni saldırıları gözlemlemek şaşırtıcıdır, ancak tamamen beklenmedik değildir.

Yıllık kampanya sayısı
Yıllık kampanya sayısı
Kaynak: Proofpoint

Proofpoint’te bu kampanyaları takip eden araştırmacılara göre, bu yeniden ortaya çıkış, ayrı C2 altyapısı, yükler ve yem temaları ile iki farklı faaliyet kümesiyle kendini gösteriyor.

Bu, kötü amaçlı yazılımın biri ilk TinyNuke aktörleriyle ilişkili ve diğeri genellikle emtia araçlarını kullanan aktörlerle bağlantılı iki farklı aktör tarafından kullanıldığını da gösterebilir.

Son olarak, 2018’de görüldüğü gibi PyLocky dağıtımıyla veya bu kez başka bir fidye yazılımı enfeksiyonuyla çakışma yoktur.

Meşru sitelerde barındırılan yükler

Aktör, yük URL’sini barındırmak için meşru Fransızca web sitelerini tehlikeye atarken, yürütülebilir yazılımlar zararsız yazılım olarak maskelenir.

Son TinyNuke kampanyaları için uzlaşma göstergeleri
Son TinyNuke kampanyaları için uzlaşma göstergeleri
Kaynak: Proofpoint

C2 iletişimleri için, en son kampanyalar 2018’den beri kullanılan yöntemle aynı olan Tor’u kullanır.

Bu iletişimlerde kullanılan “nikoumouk” dizelerinden biri, 2018 analizinde keşfedilen argo bir terimle aynıdır ve bu kampanyayı orijinal tehdit aktörlerine daha da bağlar.

“Proofpoint araştırmacıları, bilinmeyen bir amaç için C2 sunucusuna gönderilen “nikoumouk” dizesini gözlemlediler. Bilgi paylaşım ortaklarına ve açık kaynaklı bilgilere göre, aktörler bu dizeyi daha önce 2018’den bu yana önceki kampanyalarda C2 iletişimlerinde kullandılar,” diye açıklıyor. Proofpoint’in raporu.

“Dize, çoğunlukla Avrupa’da Fransızca konuşulan banliyölerde kullanılan popüler Arapça’da bir hakarettir.”

Mevcut kampanyalarda, e-postalar ZIP dosyalarını indiren URL’leri içerir. Bu ZIP dosyaları indirmek ve TinyNuke kötü amaçlı yazılım yürütmek için PowerShell komutları yürütecek bir JavaScript dosyası içerir.

Yük ZIP dosyasını getiren PowerShell kodu
Yük ZIP dosyasını getiren PowerShell kodu
Kaynak: Proofpoint

Yetenekler açısından TinyNuke yükleyici, Firefox, Internet Explorer ve Chrome için form kapma ve web ekleme özellikleriyle kimlik bilgilerini çalabilir ve ayrıca ek yükler yükleyebilir.

Kalıcılık, aşağıda gösterildiği gibi yeni bir kayıt defteri anahtarı eklenerek güvence altına alınmıştır:

Key: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunx00E02BC647BACE72A1xe4x8dx82
Data: C:Users[User]AppDataRoamingE02BC647BACE72A1firefox.exe

Μise en garde

Devam eden kampanyalar belirli yemler kullansa da, aktörler alıcılara yeni yemler sunmak için mesajlarını güncelleyebilir.

Ayrıca, yeni aktörler TinyNike kullanıyorsa, muhtemelen orijinal yazarların karanlık web’de sattığı veya kodunun yıllar önce GitHub’da piyasaya saıldığından beri bağımsız olarak dolaştığı anlamına gelir.

Her iki durumda da, dağıtımı daha da artabilir ve hedeflere karşı dağıtılan e-posta yemlerinin aralığı çok genişleyebilir.

TinyNuke kampanyasından örnek mesaj
TinyNuke kampanyasından örnek mesaj
Kaynak: Proofpoint

Tetikte kalmak ve kötü amaçlı sıkıştırılmış yürütülebilir dosyayı barındıran sitelere yol açan gömülü düğmelere tıklamaktan kaçınmak çok önemlidir.

Bu siteler başka türlü meşru olduğundan, Internet güvenlik çözümünüz herhangi bir bayrak göndermeyebilir, bu nedenle çok dikkatli olunması önerilir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.