TimbreStealer Kötü Amaçlı Yazılım
Kasım 2023'ten bu yana Meksika'daki bireyler, TimbreStealer adlı yeni tanımlanan Windows kötü amaçlı yazılımını yaymayı amaçlayan vergi temalı kimlik avı planlarına maruz kalıyor. Bu kampanyayı ortaya çıkaran araştırmacılar, failleri uzman olarak nitelendirdi ve bu tehdit aktörlerinin Eylül 2023'te Mispadu adlı bir bankacılık Truva Atı'nı dağıtmak için benzer taktikler, teknikler ve prosedürler (TTP'ler) kullandıklarını belirtti.
İçindekiler
Siber Suçlular TimbreStealer ile Meksika’daki Kullanıcıları Hedefliyor
Kimlik avı kampanyası, tespit edilmekten kaçınmak ve kalıcılığı sürdürmek için gelişmiş gizleme yöntemleri kullanmanın yanı sıra, özellikle Meksika'daki kullanıcıları hedeflemek için coğrafi sınırlamayı da içeriyor. Yük taşıma sitelerine Meksika dışındaki konumlardan erişildiğinde kampanya, kötü amaçlı dosya yerine görünüşte zararsız boş bir PDF dosyası döndürüyor.
Kullanılan kaçınma taktikleri dikkat çekicidir; özel yükleyicilerin kullanımını ve geleneksel API izlemeyi atlamak için doğrudan sistem çağrılarını içerir. Ayrıca kampanya, yakın zamanda HijackLoader tarafından da benimsenen bir teknik olan, 32 bitlik bir süreçte 64 bitlik kodu yürütmek için Heaven's Gate'i kullanıyor.
TimbreStealer Çok Çeşitli Tehdit Yetenekleriyle Donatılmıştır
Kötü amaçlı yazılım, ana ikili dosyanın düzenlenmesi, şifresinin çözülmesi ve korunmasına adanmış çeşitli yerleşik modüllerle donatılmıştır. Eş zamanlı olarak, sanal alan ortamında çalışıp çalışmadığını, sistem dilinin Rusça olup olmadığını ve saat diliminin Latin Amerika bölgesine denk gelip gelmediğini tespit etmek için çeşitli kontroller gerçekleştirir.
Orchestrator modülü, makineye daha önce virüs bulaşmadığını doğrulamak için dosyaları ve Kayıt defteri anahtarlarını arayarak ek denetimler gerçekleştirir. Bunu takiben, kullanıcıya zararsız bir tuzak dosyası sunan yük yükleyici bileşenini başlatır. Ancak perde arkasında bu eylem TimbreStealer'ın birincil yükünün yürütülmesini tetikliyor.
Birincil veri, çeşitli klasörlerden, sistem meta verilerinden ve erişilen URL'lerden gelen kimlik bilgilerini kapsayan geniş bir veri yelpazesi toplamak üzere tasarlanmıştır. Belirli uzantılara sahip dosyaları aktif olarak arar ve uzak masaüstü yazılımının varlığını doğrular.
Bilgi hırsızlığı yapan bir kötü amaçlı yazılım, kurbanlar için önemli sonuçlara yol açabilir
Infostealer kötü amaçlı yazılımı, sistemlere gizlice sızmak ve hassas bilgileri dışarı çıkarmak için özel olarak tasarlandığından, kurbanlar için ciddi bir tehdit oluşturuyor ve bu da önemli sonuçlara yol açıyor. Infostealer kötü amaçlı yazılımlarının zararlı etkilerinin olabileceği bazı yollar şunlardır:
- Veri Hırsızlığı : Infostealer kötü amaçlı yazılımının temel amacı, oturum açma kimlik bilgileri, kişisel veriler, finansal ayrıntılar ve fikri mülkiyet gibi hassas bilgileri toplamaktır. Bu bilgiler ele geçirildiğinde kimlik hırsızlığı, mali dolandırıcılık veya hesaplara yetkisiz erişim gibi çeşitli kötü amaçlı faaliyetler için kullanılabilir.
- Mali Kayıp : Infostealer kötü amaçlı yazılımı genellikle mali bilgileri hedef alır ve bu da bireyler ve kuruluşlar için doğrudan mali kayıplara yol açabilir. Siber suçlular, lisanssız işlemler başlatmak veya finansal hesaplara erişim sağlamak için toplanan bankacılık bilgilerini kullanabilir.
- Gizliliğin İstilası : Infostealer kötü amaçlı yazılımı aracılığıyla kişisel ve gizli bilgilerin çalınması, derin bir mahremiyet istilasına neden olabilir. Mağdurlar güven ihlali yaşayabilir ve çevrimiçi kimliklerini geri kazanma konusunda zorluklarla karşılaşabilirler.
- İş Kesintisi : Kuruluşlar söz konusu olduğunda Infostealer kötü amaçlı yazılımı iş kesintisine yol açabilir. Hassas iş verilerinin veya ticari sırların kaybı, bir şirketin rekabet avantajına zarar verebilir ve kritik sistemlere yetkisiz erişim, operasyonel kesintilere yol açabilir.
- İtibarın Zarar Görmesi : Hassas bilgilerin açığa çıkması, özellikle de müşteri veya çalışan verilerini içeriyorsa, bir kişinin veya kuruluşun itibarına ciddi şekilde zarar verebilir. Güven ve güvenilirlik aşınabilir ve güveni yeniden inşa etmek önemli ölçüde zaman ve çaba gerektirebilir.
- Genişletilmiş Tehlike : Infostealer kötü amaçlı yazılımı genellikle daha geniş bir siber saldırının parçasıdır. İlk ihlal meydana geldiğinde, saldırganlar ek kötü amaçlı araçlar yükleyebilir, kalıcı erişim sağlayabilir ve güvenliği ihlal edilen sistemi uzun bir süre boyunca kullanmaya devam edebilir.
Yani, temel olarak, bilgi hırsızlığı yapan kötü amaçlı yazılımlar, mali kayıplardan gizlilik ihlaline, itibar kaybına ve yasal sonuçlara kadar uzanan bir dizi olumsuz sonuca yol açabilir. Bireyler ve kuruluşlar, Infostealer tehditleriyle ilişkili riskleri önlemek, ifşa etmek ve azaltmak için sağlam siber güvenlik önlemleri almalıdır.
