18.000’den Fazla Cihaza Virüs Bulaşan Bilgisayar Korsanı Ortaya Çıktı
Bir hacker, “meslektaşlarına” kötü amaçlı yazılım derleyicisini truva atı haline getirilmiş bir sürümüyle bulaştırdı. Güvenlik şirketi CloudSEK’in raporuna göre, ABD, Hindistan, Rusya, Ukrayna ve Türkiye’de en az 18 bin cihaza virüs bulaştı.
CloudSEK uzmanları, saldırganın sahte bir XWorm RAT kötü amaçlı yazılım oluşturucusu veya derleyicisi kullanarak düşük vasıflı bilgisayar korsanlarını hedef aldığını belirtiyor. Bu, uzaktan erişim Truva atıdır.
Kurbanların çoğu siber güvenlik konusunda bilgi sahibi olmadığı için, kendilerine sunulan her şeyi indirdikleri ifade ediliyor. Bu nedenle, çeşitli kaynaklar aracılığıyla reklamı yapılan kötü amaçlı yazılımlar da indirilmiş olabilir.
DAĞITIM VE İŞLEVLER
XWorm RAT’a dönüştürülen Truva atı, GitHub depoları, dosya barındırma platformları, Telegram kanalları ve YouTube videoları üzerinden yayılmaktadır. Bu platformlarda, truva atı haline getirilmiş derleyici, ücretsiz RAT programları oluşturmanın bir yolu olarak sunulmaktadır.
Yazılım, sistemi sanallaştırma veya hata ayıklama ortamı belirtileri açısından kontrol eder. Eğer işlem bulunursa, program çalışmasını durdurur. Eğer sistem standartsa, kötü amaçlı yazılım, sistem kayıt defterinde değişiklikler yaparak her açılışta etkinleştirilmesine yönelik önlemler alır.
Ayrıca, virüs bulaşan sistem Telegram platformunu temel alan bir komut sunucusuna oturum açar. Bu oturum için, Telegram botuna ait sabit bir ID ve token kullanılır.
Kötü amaçlı yazılım Discord tokenlarını ve sistem bilgilerini otomatik olarak çalar, fiziksel konumunu IP adresine göre belirleyerek, bu bilgileri kontrol sunucusuna gönderir ve operatörün ek komutlarını bekler.
Toplamda 56 komut desteklenmektedir. Kötü amaçlı yazılım, web tarayıcısından şifreleri, çerezleri ve otomatik doldurma bilgilerini çalmaya çalışabilir. Tuş vuruşlarını engelleyebilir, ekran görüntüleri alabilir, belirli işlemleri durdurabilir ve belirli dosya türlerini sistemden silebilir.
Ayrıca, kendini yok edebilme özelliği de bulunmaktadır. En tehlikelisi ise herhangi bir dosyayı, kontrol sunucusundan gelen bir parolayla şifreleyebilme yeteneğidir.
TAMAMLANMAMIŞ BİR BOTNET
CloudSEK uzmanları, kötü amaçlı yazılım operatörlerinin virüslü cihazların yaklaşık %11’inden veri çaldığını belirledi. Sabit API belirteçlerini kullanarak, botnet’i etkisiz hale getirdiler. Böylece, ağa bağlı tüm makineleri toplu olarak kendini kaldırma komutunu göndererek etkisiz hale getirdiler ve “kabaca arama” yöntemiyle tanımlayıcıları aradılar.
Araştırmacılar, basit bir sayısal model kullanarak tüm tanımlayıcıları 1-9999 arasında zorladılar. Bu sayede, botnet’in bir kısmını etkisiz hale getirdiler çünkü tüm makineler çevrimiçi değildi ve Telegram’ın algoritmaları toplu gönderimi sınırladığından bazı mesajlar ulaşmamış olabilir.
Bilgisayar korsanları arasındaki saldırılar devam ediyor. Kampanyanın operatörü, diğer kötü amaçlı yazılımların yanı sıra “başarısız bilgisayar korsanlarına” ders vermek isteyebilir. Ancak, kampanyanın boyutu ve yayılma çabaları, operatörünün daha belirgin hedeflere sahip olduğunu gösteriyor.
