Müşteriler tarafından satın alınıp piyasaya sürülen ASMCrypt, sabit kodlanmış kimlik bilgilerini kullanarak TOR ağı üzerinden bir arka uç hizmetiyle iletişim kurmak ve böylece alıcıların kampanyalarında kullanmak üzere seçtikleri verileri oluşturmasına olanak sağlamak üzere tasarlanmıştır
“Bu hizmetlerin arkasındaki kişiler, siber suçlu topluluğuyla derinden iç içe geçmiş durumda; platformlarını yasa dışı faaliyetleri kolaylaştırmak ve kötü amaçlı yazılım yüklü araçların satışından kâr elde etmek için kullanıyor
Görünüşte yasal bir yazılım olarak tanıtılsa da, Check Point’in yakın zamanda yaptığı bir analiz, GuLoader’ın ağırlıklı olarak Remcos RAT’ı dağıtmak için kullanıldığını ortaya çıkardı; eskisi artık TheProtect adı verilen ve yükünü güvenlik yazılımı tarafından tamamen tespit edilemez hale getiren bir şifreleyici olarak satılıyor
Bu nedenle, bir dosya yüklendiğinde web sitesi, yürütüldüğünde virüslü ana bilgisayarlardan hassas bilgileri toplayan çift “ “CustomerLoader’ın, dotRunpeX enjektörünün geliştiricisi tarafından çalıştırılmasından önce eklenen yeni bir aşama olması mümkündür
siber-2
Öte yandan Bumblebee, iki aylık bir aradan sonra Ağustos 2023’ün sonlarına doğru, yükleyiciyi yaymak için Web Dağıtılmış Yazma ve Sürüm Oluşturma (WebDAV) sunucularını kullanan yeni bir dağıtım kampanyasıyla yeniden ortaya çıktı; bu, daha önce 2023’te benimsenen bir taktikti “Kullanıcı tarafından etkinleştirildiğinde, bu LNK dosyaları, WebDAV sunucularında barındırılan Bumblebee kötü amaçlı yazılımını indirmek için tasarlanmış önceden belirlenmiş bir dizi komutu çalıştırır
Kaspersky, “Uygulama,
Siber suç ekonomisinin olgunlaştığının bir işareti olarak, daha önce ayrı olduğu varsayılan tehdit aktörleri, GuLoader ile Remcos RAT arasındaki “karanlık ittifak” örneğinde de görüldüğü gibi, diğer gruplarla ortaklık kurdu pdf “Bu resim bir resim barındırma sitesine yüklenmelidir ”
Yükleyici, komut ve kontrol sunucusu (C2) iletişimleri için WebSocket protokolünü kullanmaktan TCP’ye ve ayrıca C2 sunucularının sabit kodlu listesinden, aşağıdakileri hedefleyen bir etki alanı oluşturma algoritmasına (DGA) geçiş yapan güncellenmiş bir varyanttır: Alanın yayından kaldırılması karşısında dayanıklı olmasını sağlayın LNK) ve LNK dosyalarını içeren sıkıştırılmış arşiv (
Kaspersky, “Bu tür kötü amaçlı yazılımların ardındaki fikir, son yükü, yükleme işlemi olmadan veya yükün kendisi AV/EDR vb ” dedi ”
Geliştirme, bir uygulamanın yeni versiyonları olarak geliyor DOCX to io, “CustomerLoader’ın büyük ihtimalle Hizmet Olarak Yükleyici ile ilişkili olduğunu ve birden fazla tehdit aktörü tarafından kullanıldığını” belirtti ASMCryptDoubleFinger olarak bilinen başka bir yükleyici kötü amaçlı yazılımın “gelişmiş versiyonu” olarak tanımlanan tarafından algılanmadan yüklemektir ”
Yükleyiciler, çeşitli tehdit aktörleri tarafından fidye yazılımı saldırıları, veri hırsızlığı ve diğer kötü amaçlı siber faaliyetler gerçekleştirmek üzere ağlara ilk erişim sağlamak için kullanılabilecek bir kötü amaçlı yazılım dağıtım hizmeti olarak hareket etme yetenekleri nedeniyle giderek daha popüler hale geldi
Intel 471, “Bu çaba kapsamında, tehdit aktörleri Windows kısayolunu ( ” söz konusu ” söz konusu Bu hafta yayınlanan bir analizde
Buna, çeşitli kötü amaçlı yazılımlar sunmak için kullanılan Bumblebee, CustomerLoader ve GuLoader gibi yeni ve köklü oyuncular da dahildir söz konusu
Siber güvenlik firması “EMINэM takma adı altında faaliyet gösteren bir kişi, Remcos ve GuLoader’ı açıkça satan BreakingSecurity ve VgoStore web sitelerini yönetiyor” söz konusu exe” uzantılı bir PDF gibi görünen kötü amaçlı bir ikili dosya döndürür bilgi hırsızlığı kötü amaçlı yazılım Lumma Stealer olarak adlandırılan kötü amaçlı yazılım, meşru bir
Tehdit aktörleri, yeni bir şifreleyici ve yükleyici satıyor
Lumma Stealer’ın, son birkaç yılda Vidar, Oski ve Mars’a dönüşen Arkei adlı bilinen bir hırsız kötü amaçlı yazılımın en son çatalı olduğunu belirtmekte fayda var İlginçtir ki, CustomerLoader tarafından indirilen tüm veriler dotRunpeX yapılarıdır ve bunlar da son aşamadaki kötü amaçlı yazılımı dağıtır
Sekoia IceID saldırıları
DoubleFinger ilk olarak Rus siber güvenlik şirketi tarafından belgelendi ve TebrikGhoul adlı bir kripto para hırsızını Avrupa, ABD ve Latin Amerika’daki kurbanlara yaymak için kötü amaçlı yazılımdan yararlanan enfeksiyon zincirlerini ayrıntılarıyla anlattı ZIP) dosyalarını dağıtmak için kötü amaçlı spam e-postalarından yararlandı PDF sitesini taklit eden sahte bir web sitesi aracılığıyla dağıtılan kötü amaçlı yazılımla ortalıkta tespit edildi PNG dosyasının içine gizlenmiş şifreli bir blob oluşturuyor” dedi
Kaspersky, “Kötü amaçlı yazılımlar, değişen işlevlere sahip birden fazla varyasyona sahip olan Lumma Stealer’ın da gösterdiği gibi, sürekli olarak gelişiyor