Siber suçlular internet kullanıcılarını avlamak için her fırsattan yararlanmak için hiçbir şeyden vazgeçmeyecek. COVID-19’a (hastalık) neden olan SARS-COV-II’nin (virüs) feci yayılımı bile, aynı şekilde kötü amaçlı yazılım yayma veya siber saldırılar başlatma fırsatı haline geliyor. İnternette insanların koronavirüs yayılmasına baktığı haritaların kodlarına eklenen bir çeşit virüs bilgilerinizi çalabilir. Bizim virüse -gündeme ithafen- taktığımız ismiyle: Siber Koronavirüs.
Nedeni siber güvenlik son zamanlarda internet kullanıcılarının dünya çapında hasara yol açan yeni koronavirüs hakkında bilgi için artan istekten yararlanan yeni bir saldırıyı detaylandıran bir tehdit analizi raporu yayınladı.
Kötü amaçlı yazılım saldırısı özellikle, COVID-19’un İnternet’e yayılmasının kartografik sunumlarını arayanları hedeflemeyi amaçlar ve ön uçta bir yasal haritadan yüklenen bir haritayı gösteren kötü amaçlı bir uygulamayı indirip çalıştırmaları için onları kandırır. çevrimiçi kaynak ancak arka planda bilgisayar tehlikeye atar.
Eski Kötü Amaçlı Yazılım Bileşeniyle Yeni Tehdit
İstenmeyen kurbanlardan bilgi çalmak için tasarlanan en son
tehdit ilk olarak MalwareHunterTeam tarafından geçen hafta tespit edildi ve şimdi
Reason Labs’ta bir siber güvenlik araştırmacısı olan Shai Alfasi tarafından
analiz edildi.
AZORult olarak tanımlanan bir kötü amaçlı yazılım, 2016
yılında keşfedilen bir bilgi çalan kötü amaçlı yazılım içerir. AZORult kötü
amaçlı yazılımı, web tarayıcılarında depolanan bilgileri, özellikle çerezleri,
tarama geçmişlerini, kullanıcı kimliklerini, şifreleri ve hatta kripto para
birimi anahtarlarını toplar.
Tarayıcılardan alınan bu verilerle siber suçluların kredi
kartı numaralarını, giriş bilgilerini ve diğer çeşitli hassas bilgileri çalması
mümkündür.
AZORult’un Rus yeraltı forumlarında bilgisayarlardan hassas
veriler toplamak için bir araç olarak tartışıldığı bildiriliyor. Uzak masaüstü
protokolü (RDP) aracılığıyla bağlantıları etkinleştirmek için virüslü
bilgisayarlarda gizli yönetici hesabı oluşturabilen bir varyantla birlikte
gelir.
“Siber Koronavirüs” Saldırısı Bilgileri Nasıl Çaldı?
Alfasi, Reason Security blogundaki bir blog gönderisinde kötü amaçlı yazılımı nasıl yok ettiğini ayrıntılı olarak anlattı. Öne çıkan bir detay, Ollydbg ile Bin.exe sürecinin analizi. Buna göre, işlem bazı dinamik bağlantı kitaplıkları (DLL) yazdı. DLL “nss3.dll” farklı aktörler ile tanıştığı bir şey olarak dikkatini çekti.
Alfasi, nss3.dll ile ilişkili API’lerin statik olarak
yüklendiğini gözlemledi. Bu API’lerin, kaydedilen şifrelerin şifresini çözmenin
yanı sıra çıktı verilerinin oluşturulmasını kolaylaştırdığı ortaya çıktı.
Bu, veri hırsızları tarafından kullanılan yaygın bir
yaklaşımdır. Nispeten basit, yalnızca etkilenen web tarayıcısından giriş
verilerini yakalar ve C: Windows Temp klasörüne taşır. Kötü amaçlı
yazılımın veri ayıkladığı, virüslü bilgisayarın benzersiz bir kimliğini
oluşturduğu, XOR şifrelemesini uyguladığı ve ardından C2 iletişimini başlattığı
bir AZORult saldırısının ayırt edici özelliklerinden biridir.
Kötü amaçlı yazılım, Telegram ve Steam gibi yaygın çevrimiçi
hesaplardan giriş verilerini çalmak için belirli çağrılar yapar.
Vurgulamak gerekirse, kötü amaçlı yazılım yürütme, bilgi
çalma işlemlerine devam etmesi için gereken tek adımdır. Mağdurların pencere
ile etkileşime girmesi veya hassas bilgileri girmesi gerekmez.
Velhasıl-ı kelam, COVID-19’un pandemik seviye dağılımı sadece çevrimdışı değil (hastalığa yakalanmaktan kaçınmak için) ve aynı zamanda çevrimiçi olarak da son derece dikkatli olur. Siber saldırganlar, web üzerindeki koronavirüs ile ilgili kaynakların popülaritesinden yararlanıyor ve birçoğu saldırıların avına düşecek.
