Reklam
Security

Vidar hırsızı, C2 yapılandırmasını sessizce almak için Mastodon’u kötüye kullanıyor

Vidar hırsızı, alarmları yükseltmeden C2 konfigürasyonunu almak için Mastodon sosyal medya ağını kötüye kullanan yeni bir kampanyayla geri döndü.

Belirli kötü amaçlı yazılım aktif oldu en az Ekim 2018’den beri ve bunu gördük çok sayıda farklı kampanya. Bu kadar yaygın olmasının nedeni, işinde etkili olmaya devam etmesi ve ayrıca 150 $ gibi düşük bir fiyata satıldığı Telegram kanalları ve yeraltı forumları aracılığıyla kaynak bulmanın kolay olmasıdır.

Vidar’ın virüslü makinelerden çalmaya çalıştığı veriler şunları içerir:

  • Parolalar, tanımlama bilgileri, geçmiş ve kredi kartı ayrıntıları gibi tüm popüler tarayıcı bilgileri.
  • Kripto para cüzdanları.
  • TA tarafından verilen normal ifade dizelerine göre dosyalar.
  • Windows sürümleri için telgraf kimlik bilgileri.
  • Dosya transferi uygulama bilgileri (WINSCP, FTP, FileZilla)
  • Posta uygulama bilgileri.

Bu özel kampanyayı öne çıkaran şey, Vidar’ın dinamik yapılandırma ve C2 bağlantısı elde etmek için popüler açık kaynaklı sosyal medya ağı Mastodon’u nasıl kötüye kullandığıdır.

Tehdit aktörleri Mastodon’da hesaplar kurar ve ardından hırsızın kullanacağı C2’nin IP’sini profillerinin açıklama bölümüne ekler.

Açıklamada C2 URL'si olan Aktörün Mastodon profili
Açıklamada C2 URL’si olan Aktörün Mastodon profili. Kaynak: Cyberint

Buradaki fikir, güvenliği ihlal edilmiş makineden yapılandırma kaynağına iletişimi güvence altına almaktır ve Mastodon güvenilir bir platform olduğundan, güvenlik araçlarıyla herhangi bir tehlike işareti oluşturmamalıdır. Aynı zamanda, Mastodon nispeten daha az denetlenen bir alan olduğundan, bu kötü niyetli profillerin tespit edilmesi, bildirilmesi ve kaldırılması pek olası değildir.

Araştırmacılar Siberint, bu kampanyayı keşfeden, gözlemledikleri her C2’nin 500 ila 1.500 arasında farklı kampanya kimliği içerdiğini ve bu da Vidar’ın geniş çaplı dağıtımının göstergesi olduğunu bildirdi.

Yürütme üzerine, yapılandırma için bir POST isteği gönderilir ve ardından Vidar, altı DLL bağımlılığını bir dizi GET isteği aracılığıyla C2 sunucusundan alır. Bunlar ağ hizmetleri, MS Visual Studio çalışma zamanı vb. için meşru üçüncü taraf DLL’leridir.

Bağımlılığı almak için HTTP Gönderi isteği
Bağımlılık almak için HTTP Gönderi isteği. Kaynak: Cyberint

Bu DLL’leri kullanarak Vidar, e-posta kimlik bilgileri, sohbet hesabı ayrıntıları, web tarama çerezleri vb. gibi verileri çalar, her şeyi bir ZIP arşivinde sıkıştırır ve ardından arşivi bir HTTP POST aracılığıyla saldırganlara sızdırır.

Bu yapıldıktan sonra, Vidar kendi sürecini öldürür ve kurbanın makinesindeki varlığına dair tüm kanıtları silmek amacıyla DLL’leri ve ana yürütülebilir dosyayı siler. Kurban, kimlik bilgilerinin çalındığını ne kadar geç fark ederse, aktörlerin sahip olduğu istismar fırsatları o kadar fazla olacaktır.

Kötü bir Vidar enfeksiyonu ile uğraşmaktan kaçınmak için ortak dağıtım kanallarını hesaba katın. Bunlar genellikle bekleyen siparişler, ödemeler ve paket teslimatları hakkında cesur iddialarda bulunan istenmeyen e-postalardır.

Başka bir dağıtım yöntemi, popüler sosyal medya platformlarındaki doğrudan mesajlar veya hatta torrent aracılığıyla indirilen bağcıklı oyun crackleri aracılığıyladır.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün