Merih KARAAĞAÇ
Merih, 5 yıldır teknoloji alanında editörlük yapıyor. Bilim, yapay zeka, donanim ve mobil teknolojiler konusundaki yazıları düzenliyor. Bilim ve yapay zeka konularında uzmanlaşmış.
Kötü amaçlı yazılım kampanyası Discord ve YouTube'u araç olarak kullanıyor
YouTube ve Discord üzerinden yayılan kötü amaçlı yazılımlar, kimlik bilgilerini çalmak için sahte oyunlarla kullanıcıları hedef alıyor.
4 dakikalık okuma
Acronis Tehdit Araştırma Birimi, Discord ve YouTube üzerinden yayılan yeni bir kötü amaçlı yazılım kampanyasını ortaya çıkardı. Leet Stealer, RMC Stealer ve Sniffer Stealer gibi bilgi hırsızları, oyuncu kılığındaki kurbanları hedef alıyor. Bu yazılımlar, Baruda Quest, Warstorm Fire ve Dire Talon gibi sahte oyun yükleyicileriyle yayılıyor. Saldırganlar, meşru oyunlara ait isim ve görsellerle sahte web siteleri oluşturuyor. Kullanıcılar, bu sahte siteler aracılığıyla kötü amaçlı .exe dosyalarını indiriyor. Kurulumdan sonra sistem, tarayıcı verileri, Discord token’ları ve hesap bilgilerini çalıyor.
Dağıtım stratejisi, özellikle genç kullanıcıların yoğun olduğu Discord topluluklarını hedef alıyor. Bağlantılar genellikle Discord CDN veya Dropbox gibi güvenilir platformlar aracılığıyla sunuluyor. Özellikle Brezilya kaynaklı çok dilli içerikler, bu kampanyanın küresel ölçekte yürütüldüğünü gösteriyor. YouTube videoları ve sahte tanıtım görselleriyle desteklenen bu kampanya, kullanıcıları indirme konusunda ikna etmeye çalışıyor. Özellikle Baruda Quest sahte oyununda, yalnızca Windows sürümünde zararlı yazılım yerleştirilmiş durumda. Mac ve Android sürümleri ise dikkat çekmemek için temiz bırakılıyor.
Tehlike Göstergeleri (IoC)
Aşağıdaki tabloda, kampanya kapsamında tespit edilen dosyalar, ait oldukları kötü amaçlı yazılım ailesi ve SHA256 karmaları listelenmiştir:
| Dosya Adı | Hırsız Ailesi | SHA256 |
|---|---|---|
| babacan32 Kurulum 1.0.0.exe | Leet | 5c7c70ab9734838795050a91f08f1af9e3cb479caf20bd34944282e8ac455ea7 |
| BarudaQuest.exe | RMC | 813e5923e6d4df56055f5b5200db2e074e89f64dea3099e61fbde78c0fc23597 |
| damnedbetter.exe | Sniffer | 150f7b4615a2e0e7d21a32e12e796fc009c1fe25f2efff889acf84924fef39e4 |
| damnedbetter.exe | Sniffer | 321c7c999ecc5670207394f2f2d3cf4712b15f1f87c1b0ec05ed2367d922f1dc |
| Denemeamacımız Kurulum 1.0.0.exe | Leet | 82421012c689dfe36965d5c89bbeb4af3efb65556eb8df4bf5b863e261e28e8b |
| Depthcan.exe | Leet | 798eee15a3e93ee0d261501df979dc3b61a9e5992188edeada5beaba0b30b8df |
| DireTaloGaSetup.exe | Sniffer | 35ad1623694496ec91bc853b391c8bebdfa1aeaea2c4dcf74516e2cd13ab44f4 |
| Dire Talon.exe | Sniffer | 58d8a8502e7e525795cd402c7d240b50efcdde449eab9ee382f132f690a1989c |
| EdensGameInstall.exe | Sniffer | 8294f79f9ecf81a65cdc049db51a09cd352536d7993abd0cfa241bbbceefa6e3 |
| emeraltfates.exe | Sniffer | b127202d13bd170c15c3733991d790bc5464e3d77965e9cf59172c7cf3881738 |
| Jorosa Kurulumu 1.0.0.exe | Leet | a07462af74cdccc1bba698aa5175923437d400c87e0b88601414630f7ee08f97 |
| Lacrimos.exe | Sniffer | 1ca60801bed5f8a607afb7054536bdd7d56670c04d3836cdf0cd4e07d8f2edff |
| Salonca Kurulumu 1.0.0.exe | Leet | 9411b71653f83190a139296d58737f3935bdd58c13142381e59a8d106184e15e |
| slenderthreads.exe | Sniffer | d33dbba2f4e25148e2d9a59b1157d71d29ab5a30beeb5f0992b0d3f2859a90c2 |
| Sokakcan.exe | Leet | a3636b09302a77ed7a6c75c5e679ba9ed0dbe12892f5fe94975ab3ef6be7ade8 |
| Terrnua Kurulumu 1.0.0.exe | Leet | 767f575d30deb66244b29bafae51111fdb869ba26d1df902e3f839bdb64725f9 |
Hedef: Hesap ele geçirme ve hassas verileri çalmak
Kampanya kapsamındaki bazı zararlı yazılımlar, Electron tabanlı yazılım çerçevesi ile oluşturulmuş. Bu, yazılımların platformlar arası çalışabilmesini sağlıyor ve kolayca paketlenebiliyor. Nullsoft Scriptable Install System (NSIS) ile hazırlanan kurulum dosyaları, içerisine gizlenen kötü amaçlı JavaScript kodlarıyla çalışıyor. Bu kodlar, sistemin sanal ortamda olup olmadığını algılayabiliyor ve gerekli durumda yürütmeyi durdurabiliyor. Eğer kurbanın bilgisayarı fiziksel bir cihazsa, tarayıcıyı hata ayıklama modunda açarak parolaları, çerezleri ve form verilerini topluyor. Toplanan veriler sıkıştırılarak gofile.io gibi platformlar üzerinden dışarı aktarılıyor.
Bu kampanyada yalnızca tarayıcılar değil, aynı zamanda popüler platformlar da hedef alınıyor. Steam, Minecraft, WhatsApp, Telegram ve BetterDiscord gibi uygulamalardan da veri toplanabiliyor. Discord belirteçleri sayesinde hesaplar doğrudan ele geçirilebiliyor. Bu da kötü niyetli kişilerin kullanıcı adına mesaj göndermesine ve dolandırıcılık yapmasına yol açıyor. Ayrıca, bazı zararlı yazılımların sahte hata mesajları göstererek kurbanı oyaladığı tespit edildi. RMC Stealer örneğinde, açıkta kalan kaynak kodu üzerinden sistemin kaçınma mekanizması analiz edildi. 2 GB’tan az RAM tespitiyle birlikte, bazı sanal sistemlerde yürütme otomatik olarak sonlandırılıyor.
Yorum bırakın
E-posta adresiniz yayınlanmayacaktır. Zorunlu alanlar * ile işaretlenmiştir.
