Kötü Amaçlı Reklam Kampanyası, GoPIX Kötü Amaçlı Yazılımıyla Brezilya'nın PIX Ödeme Sistemini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Kötü Amaçlı Reklam Kampanyası, GoPIX Kötü Amaçlı Yazılımıyla Brezilya'nın PIX Ödeme Sistemini Hedefliyor - Dünyadan Güncel Teknoloji Haberleri
Kontrolü geçen kullanıcılara, kötü amaçlı bir yükleyiciyi indirmeleri için onları kandırmak amacıyla sahte bir WhatsApp indirme sayfası gösteriliyor

Rus siber güvenlik sağlayıcısı, “Siber suçlular kötü amaçlı reklamcılık kullanıyor: bağlantıları arama sonuçlarının reklam bölümüne yerleştiriliyor, böylece kullanıcı ilk önce onları görüyor

Kurumsal güvenlik firmasının atfedilen Kampanya, Brezilya ve Meksika’daki çeşitli varlıkları tespit etmek için Brezilya bankacılık kötü amaçlı yazılımlarını ve kimlik avını kullandığı bilinen TA2725 olarak takip ettiği bir tehdit aktörüne yönelik

GoPIX, PIX ödeme isteklerini ele geçiren ve bunları bir komut ve kontrol (C2) sunucusundan alınan, saldırgan tarafından kontrol edilen bir PIX dizesiyle değiştiren bir pano hırsızı kötü amaçlı yazılım olarak işlev görür Bu, ek korkuluğun güvenlik yazılımını atlayacak ve kötü amaçlı yazılımı dağıtacak şekilde açıkça kurulduğunu gösterir ”

Arama motorlarında WhatsApp ve Telegram gibi mesajlaşma uygulamalarını arayan kullanıcıları hedefleyen tek kampanya bu değil

Sonuç olarak, tehdit aktörünün cihazı kurbanın WhatsApp hesaplarına bağlanarak, kötü niyetli tarafın sohbet geçmişlerine ve kayıtlı kişilerine tam erişim sağlamasına olanak tanıyor “Ancak bunlar kötü amaçlı yazılımda sabit kodlanmıştır ve C2’den alınamaz

İlginç bir şekilde, kötü amaçlı yazılım, kullanıcının makinesinde 27275 numaralı bağlantı noktasının açık olup olmamasına bağlı olarak iki farklı URL’den indirilebiliyor

Hırsız ekosistemine en son katılan Lumar, ilk olarak Collector adlı bir kullanıcı tarafından siber suç forumlarında reklamı yapılan ve Telegram oturumlarını yakalama, tarayıcı çerezlerini ve şifrelerini toplama, dosyaları alma ve kripto cüzdanlarından veri çıkarma yeteneklerini pazarlayan Lumar’dır

Malwarebytes, kullanıcıları bir Google Dokümanlar sayfasından sahte bir yükleyici indirmeye ikna etmek için Telegram’ı bir yem olarak kullanan benzer bir kampanya keşfettiğini söyledi

“Ortaya çıkan kötü amaçlı yazılım genellikle karanlık ağda daha az vasıflı suçlular arasında tanıtılıyor ve MaaS olarak dağıtılıyor, yazarlarının hızla zenginleşmesine olanak tanıyor ve meşru kuruluşları tekrar tekrar tehlikeye atıyor

Yükleyicinin asıl amacı, GoPIX kötü amaçlı yazılımını, adı verilen bir teknik kullanarak alıp başlatmaktır ”



siber-2

söz konusu Salı günü yayınlanan bir raporda ” söz konusu

Malwarebytes tehdit istihbaratı direktörü Jérôme Segura, “Buradaki sorun, taradığınız QR kodunun WhatsApp ile hiçbir ilgisi olmayan kötü amaçlı bir siteden gelmesidir” dedi

Hong Kong bölgesinde yoğunlaşan yeni bir dizi saldırıda, Google arama sonuçlarındaki sahte reklamların, kullanıcıları sahte sayfalara yönlendirdiği ve kullanıcıları siteye davet ettiği tespit edildi

Bu, olarak bilinen meşru bir dolandırıcılık önleme çözümü kullanılarak gerçekleştirilir

Aktif kampanyayı Aralık 2022’den bu yana takip eden Kaspersky, saldırıların, potansiyel kurbanların arama motorlarında “WhatsApp web” araması yaptığında sunulan kötü amaçlı reklamlar kullanılarak gerçekleştirildiğini söyledi

Bu arada, bilgi hırsızları siber suç ekonomisinde gelişiyor; suç yazılımı yazarları yeraltı pazarını, siber suçlulara saldırıları gerçekleştirmek için uygun ve uygun maliyetli bir araç sağlayan hizmet olarak kötü amaçlı yazılım (MaaS) teklifleriyle dolduruyor ” dedi GoPIX

Kaspersky, “Bütün bu işlevlere sahip olmasına rağmen, kötü amaçlı yazılımın boyutu nispeten küçüktür (yalnızca 50 KB) Bu da kısmen C dilinde yazılmış olmasından kaynaklanmaktadır süreç oyma başlatarak svchost

Gelişme, Proofpoint’in yeni bir versiyonunu ortaya çıkarmasıyla geldi “Böyle bir bağlantıya tıklarlarsa, kullanıcının kötü amaçlı yazılım açılış sayfasına yönlendirileceği bir yönlendirme gerçekleşir GoPIX ayrıca C2 komutlarını da alabilir, ancak bunlar yalnızca kötü amaçlı yazılımın makineden kaldırılmasıyla ilgilidir Brezilya bankacılık truva atı Grandoreiro adlı isim Meksika ve İspanya’daki kurbanları hedef alıyor ve faaliyeti “sıklık ve hacim açısından olağandışı” olarak tanımlıyor enjektör kötü amaçlı yazılımı IP Kalite Puanı site ziyaretçisinin insan mı yoksa bot mu olduğunu belirlemek için QR kodunu tarayın Cihazlarını bağlamak için ”

Bağlantı noktasının kapatılması durumunda NSIS yükleyici paketi doğrudan indirilir “Bu yazılım tespit edilirse, bir sonraki aşamayı indiren, gizlenmiş bir PowerShell betiğini içeren bir LNK dosyasını içeren bir ZIP dosyası indirilir ”

Son zamanlarda gözlemlenen diğer kötü amaçlı reklam kampanyalarında olduğu gibi, reklamı tıklayan kullanıcılar, sanal alanları, botları ve gerçek kurbanlar olarak kabul edilmeyen diğerlerini filtrelemeyi amaçlayan bir gizleme hizmeti aracılığıyla yönlendirilecek

Kaspersky, “Bu bağlantı noktası Avast güvenli bankacılık yazılımı tarafından kullanılıyor” dedi


Brezilya’nın popülerliği PIX Anında ödeme sistemi, yeni bir kötü amaçlı yazılım kullanarak yasa dışı kar elde etmek isteyen tehdit aktörleri için onu kazançlı bir hedef haline getirdi

Kaspersky, “Kötü amaçlı yazılım aynı zamanda Bitcoin ve Ethereum cüzdan adreslerinin değiştirilmesini de destekliyor Bu Mayıs ayının başlarında SentinelOne, Brezilyalı bir tehdit grubunun 30’dan fazla Portekiz bankasını hırsız kötü amaçlı yazılımla hedef alan uzun süredir devam eden bir kampanyasını ortaya çıkardı

İspanya’nın hedef alınması, Latin Amerika odaklı kötü amaçlı yazılımların giderek daha fazla Avrupa’ya yöneldiği yeni bir trende işaret ediyor

Dahası, bu tür araçlar, kendileri de teknik uzmanlığa sahip olmayan, hevesli tehdit aktörlerinin giriş engelini azaltır ” dedi exe Windows sistem işlemi askıya alınmış durumda ve yükü buna enjekte ediyor