Kaspersky uzmanları, yeni ve aktif kötü amaçlı siber kampanya keşfetti

Kaspersky uzmanları, 'Foxit PDF Editor', 'AutoCAD' ve 'JetBrains' gibi popüler yazılımlardan yararlanan, yeni ve aktif kötü amaçlı kampanyayı ortaya çıkardı.

Şirketten yapılan açıklamaya göre, siber saldırganlar, 'kurban'ların kredi kartı bilgilerini ve virüs bulaşmış cihazlarıyla ilgili ayrıntıları ele geçirmek için hırsızlık amaçlı kötü amaçlı yazılımlar kullanırken, aynı zamanda bir kripto madenci yardımıyla kripto para madenciliği yapmak için virüs bulaştırdıkları bilgisayarların gücünü kullanıyor.

Kaspersky teknolojileri, sadece üç ay içinde, bu kampanya tarafından başlatılan 11 binden fazla saldırı girişimini engelledi. Etkilenen kullanıcıların çoğu Brezilya, Çin, Rusya, Meksika, Birleşik Arap Emirlikleri, Mısır, Cezayir, Vietnam, Hindistan ve Sri Lanka'da bulunuyor.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), Ağustos 2024'te 'SteelFox' adını verdikleri, daha önce bilinmeyen, madencilik ve hırsızlık zararlı yazılım paketi içeren bir dizi saldırıyı keşfetti.

Kampanyanın ilk saldırı vektörü, 'SteelFox dropper'ının yasal yazılım ürünlerini ücretsiz olarak etkinleştirmenin bir yolu olarak tanıtıldığı forumlar ve 'torrent' izleyicilerindeki gönderiler olarak ortaya çıkıyor. Bu dropper'lar Foxit PDF Editor, JetBrains ve AutoCAD gibi popüler programların kırık versiyonları gibi görünüyor. Bunlar, vadedilen işlevselliği sundukları sırada doğrudan kullanıcıların bilgisayarlarına sofistike kötü amaçlı yazılımlar da gönderiyor.

Kampanya, hırsızlık modülü ve kripto madenci olarak iki ana bileşenden oluşuyor. SteelFox, kurbanların bilgisayarlarından tarayıcı verileri, hesap kimlik bilgileri, kredi kartı bilgileri ve yüklü yazılım ve antivirüs çözümleri hakkında ayrıntılar dahil kapsamlı bilgiler topluyor. Wi-Fi şifrelerini, sistem bilgilerini ve saat dilimi verilerini ele geçirebiliyor. Saldırganlar, muhtemelen kripto para birimi 'Monero'yu hedef alan kripto para madenciliği için virüslü cihazların gücünden yararlanmak amacıyla açık kaynaklı bir madenci olan 'XMRig'in değiştirilmiş bir sürümünü kullanıyor.

Kaspersky araştırması, kampanyanın en az Şubat 2023'ten beri aktif olduğunu ve günümüzde tehdit oluşturmaya devam ettiğini gösteriyor. SteelFox kampanyasının arkasındaki siber suçlular, kampanya boyunca işlevselliklerini önemli ölçüde değiştirmezken, tespit edilmekten kaçınmak için tekniklerini ve kodunu değiştirmeye çalıştı.

- 'Bulaşma vektörlerini kademeli olarak çeşitlendirdiler'

Açıklamada görüşlerine yer verilen Kaspersky GReAT Rusya ve BDT Araştırma Merkezi Başkanı Dmitry Galov, saldırganlar başlangıçta Foxit Reader kullanıcılarını hedef alarak bulaşma vektörlerini kademeli olarak çeşitlendirdiğini belirtti.

Kötü niyetli kampanyanın etkili olduğunun doğrulanmasının ardından, erişim alanlarını JetBrains ürünlerinin kırık hallerini de içerecek şekilde genişlettiklerini kaydeden Galov, 'Üç ay sonra AutoCAD'in adını da istismar etmeye başladılar. Kampanya hala aktif ve kötü amaçlı yazılımlarını, daha popüler ürünlerin görüntüsü altında dağıtmaya başlayabileceklerini tahmin ediyoruz.' değerlendirmesinde bulundu.

SteelFox büyük ölçekte etki ederek, güvenliği ihlal edilmiş yazılımla karşılaşan herkesi etkiliyor. Kaspersky uzmanları, bu tür kötü amaçlı kampanyalara hedef olma riskini en aza indirmek için uygulamaları yalnızca resmi kaynaklardan indirmeyi, işletim sistemi ve yüklü uygulamaları düzenli olarak güncellemeyi, Kaspersky Premium gibi ürünleri bağımsız test laboratuvarları tarafından onaylanmış bir geliştiriciden güvenilir bir güvenlik çözümü yüklemeyi tavsiye ediyor.