Koronavirüs İzleme Haritalarında Bir Virüs: Siber Koronavirüs
Siber suçlular internet kullanıcılarını avlamak için her fırsattan yararlanmak için hiçbir şeyden vazgeçmeyecek. COVID-19’a (hastalık) neden olan SARS-COV-II’nin (virüs) feci yayılımı bile, aynı şekilde kötü amaçlı yazılım yayma veya siber saldırılar başlatma fırsatı haline geliyor. İnternette insanların koronavirüs yayılmasına baktığı haritaların kodlarına eklenen bir çeşit virüs bilgilerinizi çalabilir. Bizim virüse -gündeme ithafen- taktığımız ismiyle: Siber Koronavirüs.
Nedeni siber güvenlik son zamanlarda internet kullanıcılarının dünya çapında hasara yol açan yeni koronavirüs hakkında bilgi için artan istekten yararlanan yeni bir saldırıyı detaylandıran bir tehdit analizi raporu yayınladı.
Kötü amaçlı yazılım saldırısı özellikle, COVID-19’un İnternet’e yayılmasının kartografik sunumlarını arayanları hedeflemeyi amaçlar ve ön uçta bir yasal haritadan yüklenen bir haritayı gösteren kötü amaçlı bir uygulamayı indirip çalıştırmaları için onları kandırır. çevrimiçi kaynak ancak arka planda bilgisayar tehlikeye atar.
Eski Kötü Amaçlı Yazılım Bileşeniyle Yeni Tehdit
İstenmeyen kurbanlardan bilgi çalmak için tasarlanan en son tehdit ilk olarak MalwareHunterTeam tarafından geçen hafta tespit edildi ve şimdi Reason Labs’ta bir siber güvenlik araştırmacısı olan Shai Alfasi tarafından analiz edildi.
AZORult olarak tanımlanan bir kötü amaçlı yazılım, 2016 yılında keşfedilen bir bilgi çalan kötü amaçlı yazılım içerir. AZORult kötü amaçlı yazılımı, web tarayıcılarında depolanan bilgileri, özellikle çerezleri, tarama geçmişlerini, kullanıcı kimliklerini, şifreleri ve hatta kripto para birimi anahtarlarını toplar.
Tarayıcılardan alınan bu verilerle siber suçluların kredi kartı numaralarını, giriş bilgilerini ve diğer çeşitli hassas bilgileri çalması mümkündür.
AZORult’un Rus yeraltı forumlarında bilgisayarlardan hassas veriler toplamak için bir araç olarak tartışıldığı bildiriliyor. Uzak masaüstü protokolü (RDP) aracılığıyla bağlantıları etkinleştirmek için virüslü bilgisayarlarda gizli yönetici hesabı oluşturabilen bir varyantla birlikte gelir.
“Siber Koronavirüs” Saldırısı Bilgileri Nasıl Çaldı?
Alfasi, Reason Security blogundaki bir blog gönderisinde kötü amaçlı yazılımı nasıl yok ettiğini ayrıntılı olarak anlattı. Öne çıkan bir detay, Ollydbg ile Bin.exe sürecinin analizi. Buna göre, işlem bazı dinamik bağlantı kitaplıkları (DLL) yazdı. DLL “nss3.dll” farklı aktörler ile tanıştığı bir şey olarak dikkatini çekti.
Alfasi, nss3.dll ile ilişkili API’lerin statik olarak yüklendiğini gözlemledi. Bu API’lerin, kaydedilen şifrelerin şifresini çözmenin yanı sıra çıktı verilerinin oluşturulmasını kolaylaştırdığı ortaya çıktı.
Bu, veri hırsızları tarafından kullanılan yaygın bir yaklaşımdır. Nispeten basit, yalnızca etkilenen web tarayıcısından giriş verilerini yakalar ve C: \ Windows \ Temp klasörüne taşır. Kötü amaçlı yazılımın veri ayıkladığı, virüslü bilgisayarın benzersiz bir kimliğini oluşturduğu, XOR şifrelemesini uyguladığı ve ardından C2 iletişimini başlattığı bir AZORult saldırısının ayırt edici özelliklerinden biridir.
Kötü amaçlı yazılım, Telegram ve Steam gibi yaygın çevrimiçi hesaplardan giriş verilerini çalmak için belirli çağrılar yapar.
Vurgulamak gerekirse, kötü amaçlı yazılım yürütme, bilgi çalma işlemlerine devam etmesi için gereken tek adımdır. Mağdurların pencere ile etkileşime girmesi veya hassas bilgileri girmesi gerekmez.
Velhasıl-ı kelam, COVID-19’un pandemik seviye dağılımı sadece çevrimdışı değil (hastalığa yakalanmaktan kaçınmak için) ve aynı zamanda çevrimiçi olarak da son derece dikkatli olur. Siber saldırganlar, web üzerindeki koronavirüs ile ilgili kaynakların popülaritesinden yararlanıyor ve birçoğu saldırıların avına düşecek.
