Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Trojanized dnSpy uygulaması, araştırmacılara ve geliştiricilere kötü amaçlı yazılım kokteyli bırakıyor

Trojanized dnSpy uygulaması, araştırmacılara ve geliştiricilere kötü amaçlı yazılım kokteyli bırakıyor

Bilgisayar korsanları, bu hafta kripto para hırsızları, uzaktan erişim truva atları ve madencileri yüklemek için dnSpy .NET uygulamasının kötü amaçlı bir sürümünü dağıtan karmaşık bir kötü amaçlı yazılım kampanyasında siber güvenlik araştırmacılarını ve geliştiricilerini hedef aldı.

dnSpy, .NET programlarının hatalarını ayıklamak, değiştirmek ve derlemek için kullanılan popüler bir hata ayıklayıcı ve .NET derleme düzenleyicisidir. Siber güvenlik araştırmacıları, .NET kötü amaçlı yazılımlarını ve yazılımlarını analiz ederken yaygın olarak bu programı kullanır.

Yazılım artık ilk geliştiriciler tarafından aktif olarak geliştirilmese de, orijinal kaynak kodu ve yeni aktif olarak geliştirilmiş versiyon GitHub’da herkes tarafından klonlanıp değiştirilebilir.

Kötü amaçlı dnSpy bir kötü amaçlı yazılım kokteyli sunar

Bu hafta bir tehdit aktörü, kripto para birimini çalmak için pano korsanları, Quasar uzaktan erişim truva atı, bir madenci ve çeşitli bilinmeyen yükler de dahil olmak üzere bir kötü amaçlı yazılım kokteyli yükleyen dnSpy’ın derlenmiş bir sürümüyle bir GitHub deposu oluşturdu.

Bu yeni kampanya güvenlik araştırmacıları tarafından keşfedildi 0 gün meraklısı ve Kötü Amaçlı Yazılım AvcısıTakımı başlangıçta https://github adresinde barındırılan kötü niyetli dnSpy projesini kim gördü[.]com/carbonblackz/dnSpy/ ve ardından https://github’a geçiş yapın[.]com/isharpdev/dnSpy daha inandırıcı görünmek için.

Kötü amaçlı dnSpy GitHub deposu
Kötü amaçlı dnSpy GitHub deposu
Kaynak: MalwareHunterTeam

Tehdit aktörleri ayrıca dnSpy’da bir web sitesi oluşturdu[.]güzel tasarlanmış ve profesyonel görünümlü net. Bu site artık çalışmıyor, ancak aşağıda arşivlenmiş sürümün ekran görüntüsünü görebilirsiniz.

Kötü amaçlı dnspy[.net] alan
Kötü amaçlı dnSpy[.net] alan
Kaynak: BleepingComputer

Web sitesini tanıtmak için, tehdit aktörleri dnSpy’ı almak için başarılı arama motoru optimizasyonu gerçekleştirdi[.]net Google’ın ilk sayfasında listelenmiştir. Bu alan aynı zamanda belirgin bir şekilde listelenmiş Bing, Yahoo, AOL, Yandex ve Ask.com’da.

Yedek plan olarak, aşağıda gösterildiği gibi, arama motoru reklamlarını da arama sonuçlarında ilk öğe olarak görünmeleri için çıkardılar.

Sahte DNSpy sitesi için Google reklamı
Sahte dnSpy sitesi için Google reklamı
Kaynak: BleepingComputer

Kötü amaçlı dnSpy uygulaması, yürütüldüğünde normal programa benziyor. .NET uygulamalarını açmanıza, hata ayıklamanıza ve programın tüm normal işlevlerini gerçekleştirmenize olanak tanır.

Sahte DNSpy uygulaması
Sahte dnSpy uygulaması
Kaynak: BleepingComputer

Ancak, kötü niyetli dnSpy uygulaması [VirusTotal] başlatıldığında, yükseltilmiş izinlerle çalışan zamanlanmış görevler oluşturan bir dizi komutu yürütür.

İçinde komutların listesi MalwareHunterTeam tarafından BleepingComputer ile paylaşılan kötü amaçlı yazılım aşağıdaki eylemleri gerçekleştirir:

  • Microsoft Defender’ı devre dışı bırakır
  • curl.exe dosyasını %windir%system32curl.exe konumuna indirmek için bitsadmin.exe’yi kullanır.
  • C:Trash klasörüne çeşitli yükleri indirmek ve bunları başlatmak için curl.exe ve bitsadmin.exe’yi kullanır.
  • Kullanıcı Hesabı Denetimini devre dışı bırakır.
Sahte DNSpy programı tarafından yürütülen komutlar
Sahte dnSpy programı tarafından yürütülen komutlar
Kaynak: MalwareHunterTeam

Yükler http://4api adresinden indirilir.[.]net/ ve aşağıda listelenen çeşitli kötü amaçlı yazılımları içerir:

  • %windir%system32curl.exe – Kıvrılma programı.
  • C:Trashc.exe – Bilinmiyor [VirusTotal]
  • C:Trashck.exe – Bilinmiyor
  • C:Trashcbot.exe – Pano Hijacker [VirusTotal]
  • C:Trashcbo.exe – Bilinmiyor [VirusTotal]
  • C:Trashqs.exe – Quasar RAT [VirusTotal]
  • C:Trashm.exe – Madenci [VirusTotal]
  • C:Trashd.exe – Yasal Defans Kontrolü Microsoft Defender’ı devre dışı bırakmak için uygulama. [VirusTotal]
  • C: Çöp Kutusu nnj.exe – Bilinmiyor

Pano korsanı (cbot.exe), önceki saldırılarda kullanılan kripto para adreslerini bir miktar başarıyla kullanır. bitcoin adresi var çalınan 68 bitcoin işlemi toplamda yaklaşık 4.200 dolar.

Bu kampanyanın bir parçası olarak kullanılan kripto para adresleri şunlardır:

Şu anda, hem dnSpy[.]net ve bu kampanyaya güç sağlamak için kullanılan GitHub deposu kapatıldı.

Bununla birlikte, güvenlik araştırmacıları ve geliştiricilerinin, cihazlarına kötü amaçlı yazılım yükleyen popüler projelerin kötü niyetli klonlarını sürekli olarak aramaları gerekir.

Siber güvenlik araştırmacılarına ve geliştiricilerine yönelik saldırılar yeni değil ve açıklanmayan güvenlik açıklarını, kaynak kodunu çalmak veya hassas ağlara erişim sağlamak için giderek daha yaygın hale geliyor.

Geçen yıl, Google ve güvenlik araştırmacıları, devlet destekli Kuzey Koreli bilgisayar korsanlarının çeşitli yemler kullanarak güvenlik açığı araştırmacılarını hedef aldığını keşfetti. Bu yemler dahil sahte Visual Studio projeleri, Internet Explorer sıfır gün güvenlik açıkları, kötü niyetli siber güvenlik şirketleri, ve kötü niyetli IDA Pro İndirilenler.

IOC’ler:

dnSpy-net-win32.zip - 6112e0aa2a53b6091b3d7834b60da6cd2b3c7bf19904e05765518460ac513bfa
dnSpy-net-win64.zip - 005526de4599f96a4a1eba9de9d6ad930de13d5ea1a23fada26e1575f4e3cf85
curl.exe - 0ba1c44d0ee5b34b45b449074cda51624150dc16b3b3c38251df6c052adba205
c.exe - cabc62b3077c2df3b69788e395627921c309e112b555136e99949c5a2bbab4f2
ck.exe - NA
cbot.exe - 746a7a64ec824c63f980ed2194eb7d4e6feffc2dd6b0055ac403fac57c26f783
cbo.exe - e998df840b687ec58165355c1d60938b367edc2967df2a9d44b74ad38f75f439/
qs.exe - 70ad9112a3f0af66db30ebc1ab3278296d7dc36e8f6070317765e54210d06074
m.exe - 8b7874d328da564aca73e16ae4fea2f2c0a811ec288bd0aba3b55241242be40d
d.exe - 6606d759667fbdfaa46241db7ffb4839d2c47b88a20120446f41e916cad77d0b
nnj.exe - NA

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.