Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Ağustos 2024’te SteelFox adını verdikleri, daha önce bilinmeyen, madencilik ve hırsızlık zararlı yazılım paketi içeren bir dizi saldırıyı ortaya çıkardı.
Kaspersky uzmanları, Foxit PDF Editor, AutoCAD ve JetBrains gibi popüler yazılımlardan yararlanan, yeni ve aktif bir kötü amaçlı kampanyayı ortaya çıkardı. Saldırganlar, kurbanların kredi kartı bilgilerini ve virüs bulaşmış cihazlarıyla ilgili ayrıntıları ele geçirmek için hırsızlık amaçlı kötü amaçlı yazılımlar kullanırken, aynı zamanda bir kripto madenci yardımıyla kripto para madenciliği yapmak için virüs bulaştırdıkları bilgisayarların gücünü kullanıyor. Kaspersky teknolojileri sadece üç ay içinde 11 binden fazla saldırı girişimini engelledi. Etkilenen kullanıcıların çoğu Brezilya, Çin, Rusya, Meksika, Birleşik Arap Emirlikleri, Mısır, Cezayir, Vietnam, Hindistan ve Sri Lanka’da bulunuyor.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Ağustos 2024’te SteelFox adını verdikleri, daha önce bilinmeyen, madencilik ve hırsızlık zararlı yazılım paketi içeren bir dizi saldırıyı ortaya çıkardı.
İlk saldırı vektörü, SteelFox dropper’ının yasal yazılım ürünlerini ücretsiz olarak etkinleştirmenin bir yolu olarak tanıtıldığı forumlar ve torrent izleyicilerindeki gönderiler olarak ortaya çıkıyor. Bu dropper’lar Foxit PDF Editor, JetBrains ve AutoCAD gibi popüler programların kırık versiyonları gibi görünüyor. Bunlar vaat edilen işlevselliği sunmakla birlikte, aynı zamanda doğrudan kullanıcıların bilgisayarlarına sofistike kötü amaçlı yazılımlar da gönderiyorlar.
Kampanya iki ana bileşenden oluşuyor: Hırsızlık modülü ve kripto madenci. SteelFox, kurbanların bilgisayarlarından tarayıcı verileri, hesap kimlik bilgileri, kredi kartı bilgileri ve yüklü yazılım ve antivirüs çözümleri hakkında ayrıntılar dahil olmak üzere kapsamlı bilgiler topluyor. Ayrıca Wi-Fi şifrelerini, sistem bilgilerini ve saat dilimi verilerini ele geçirebiliyor. Ayrıca saldırganlar, muhtemelen Monero’yu hedef alan kripto para madenciliği için virüslü cihazların gücünden yararlanmak amacıyla açık kaynaklı bir madenci olan XMRig’in değiştirilmiş bir sürümünü kullanıyor.
Kaspersky araştırması, kampanyanın en az Şubat 2023’ten beri aktif olduğunu ve günümüzde de tehdit oluşturmaya devam ettiğini gösteriyor. SteelFox kampanyasının arkasındaki siber suçlular kampanya boyunca kampanyanın işlevselliğini önemli ölçüde değiştirmezken, tespit edilmekten kaçınmak için tekniklerini ve kodunu değiştirmeye çalıştılar. Kaspersky GReAT Rusya ve BDT Araştırma Merkezi Başkanı Dmitry Galov, “Saldırganlar başlangıçta Foxit Reader kullanıcılarını hedef alarak bulaşma vektörlerini kademeli olarak çeşitlendirdiler. Kötü niyetli kampanyanın etkili olduğunu doğruladıktan sonra, erişim alanlarını JetBrains ürünlerinin kırık hallerini de içerecek şekilde genişlettiler. Üç ay sonra AutoCAD’in adını da istismar etmeye başladılar. Kampanya hala aktif ve kötü amaçlı yazılımlarını, daha popüler ürünlerin görüntüsü altında dağıtmaya başlayabileceklerini tahmin ediyoruz” diyor.
SteelFox büyük ölçekte etki ederek, güvenliği ihlal edilmiş yazılımla karşılaşan herkesi etkiliyor. Ağustos ayından Ekim sonuna kadar Kaspersky güvenlik çözümleri 11 binden fazla saldırı tespit etti. Etkilenen kullanıcıların çoğu Brezilya, Çin, Rusya, Meksika, BAE, Mısır, Cezayir, Vietnam, Hindistan ve Sri Lanka’da bulunuyor.
Kaspersky uzmanları, bu tür kötü amaçlı kampanyalara hedef olma riskini en aza indirmek için şunları öneriyor:
Kaynak: (BYZHA) Beyaz Haber Ajansı
