SteelFox, bankacılık verilerini çalmak ve gizli kripto madencilik yapmak için Foxit PDF Editor ve AutoCAD’den yararlanıyor

Kaspersky uzmanları, Foxit PDF Editor, AutoCAD ve JetBrains üzere tanınan yazılımlardan yararlanan, yeni ve faal bir berbat gayeli kampanyayı ortaya çıkardı. Saldırganlar, kurbanların kredi kartı bilgilerini ve virüs bulaşmış aygıtlarıyla ilgili detayları ele geçirmek için hırsızlık maksatlı makus hedefli yazılımlar kullanırken, tıpkı vakitte bir kripto madenci yardımıyla kripto para madenciliği yapmak için virüs bulaştırdıkları bilgisayarların gücünü kullanıyor. Kaspersky teknolojileri yalnızca üç ay içinde 11 binden fazla akın teşebbüsünü engelledi. Etkilenen kullanıcıların birden fazla Brezilya, Çin, Rusya, Meksika, Birleşik Arap Emirlikleri, Mısır, Cezayir, Vietnam, Hindistan ve Sri Lanka’da bulunuyor.

 

Kaspersky Global Araştırma ve Tahlil Takımı (GReAT), Ağustos 2024’te SteelFox ismini verdikleri, daha evvel bilinmeyen, madencilik ve hırsızlık ziyanlı yazılım paketi içeren bir dizi saldırıyı ortaya çıkardı.

İlk taarruz vektörü, SteelFox dropper’ının yasal yazılım eserlerini fiyatsız olarak etkinleştirmenin bir yolu olarak tanıtıldığı forumlar ve torrent izleyicilerindeki gönderiler olarak ortaya çıkıyor. Bu dropper’lar Foxit PDF Editor, JetBrains ve AutoCAD üzere tanınan programların kırık versiyonları üzere görünüyor. Bunlar vaat edilen fonksiyonelliği sunmakla birlikte, birebir vakitte direkt kullanıcıların bilgisayarlarına sofistike berbat hedefli yazılımlar da gönderiyorlar.

 

Kampanya iki ana bileşenden oluşuyor: Hırsızlık modülü ve kripto madenci. SteelFox, kurbanların bilgisayarlarından tarayıcı dataları, hesap kimlik bilgileri, kredi kartı bilgileri ve yüklü yazılım ve antivirüs tahlilleri hakkında detaylar dahil olmak üzere kapsamlı bilgiler topluyor. Ayrıyeten Wi-Fi şifrelerini, sistem bilgilerini ve saat dilimi datalarını ele geçirebiliyor. Ayrıyeten saldırganlar, muhtemelen Monero’yu amaç alan kripto para madenciliği için virüslü aygıtların gücünden yararlanmak maksadıyla açık kaynaklı bir madenci olan XMRig’in değiştirilmiş bir sürümünü kullanıyor.

Kaspersky araştırması, kampanyanın en az Şubat 2023’ten beri etkin olduğunu ve günümüzde de tehdit oluşturmaya devam ettiğini gösteriyor. SteelFox kampanyasının gerisindeki siber hatalılar kampanya boyunca kampanyanın fonksiyonelliğini kıymetli ölçüde değiştirmezken, tespit edilmekten kaçınmak için tekniklerini ve kodunu değiştirmeye çalıştılar. Kaspersky GReAT Rusya ve BDT Araştırma Merkezi Başkanı Dmitry Galov, “Saldırganlar başlangıçta Foxit Reader kullanıcılarını maksat alarak bulaşma vektörlerini kademeli olarak çeşitlendirdiler. Makus niyetli kampanyanın tesirli olduğunu doğruladıktan sonra, erişim alanlarını JetBrains eserlerinin kırık hallerini de içerecek biçimde genişlettiler. Üç ay sonra AutoCAD’in ismini da istismar etmeye başladılar. Kampanya hala faal ve berbat maksatlı yazılımlarını, daha tanınan eserlerin imajı altında dağıtmaya başlayabileceklerini varsayım ediyoruz” diyor.

SteelFox büyük ölçekte tesir ederek, güvenliği ihlal edilmiş yazılımla karşılaşan herkesi etkiliyor. Ağustos ayından Ekim sonuna kadar Kaspersky güvenlik tahlilleri 11 binden fazla atak tespit etti. Etkilenen kullanıcıların birden fazla Brezilya, Çin, Rusya, Meksika, BAE, Mısır, Cezayir, Vietnam, Hindistan ve Sri Lanka’da bulunuyor.

 

 

Kaspersky uzmanları, bu cins makus emelli kampanyalara amaç olma riskini en aza indirmek için şunları öneriyor:

• Uygulamaları sırf resmi kaynaklardan indirin.
• İşletim sisteminizi ve yüklü uygulamaları tertipli olarak güncelleyin.
• Kaspersky Premium gibi eserleri bağımsız test laboratuvarları tarafından onaylanmış bir geliştiriciden emniyetli bir güvenlik tahlili yükleyin.

Kaynak: (BYZHA) Beyaz Haber Ajansı