Kaspersky araştırmacıları, YouTube’daki oyuncuları hedefleyen sıra dışı bir makûs emelli demet (tek bir heyetim evrakı, kendi kendini ekleyen arşiv yahut yükleyici tipi fonksiyonelliğe sahip diğer bir belge halinde dağıtılan makus hedefli programlar koleksiyonu) tespit etti. Ana yükü tarayıcılardan şifreleri ve kimlik ayrıntılarını çalmak için kullanılan en yaygın Truva atlarından biri olan Redline Stealer oluşturuyor.
Siber hatalılar, faal olarak oyun hesaplarını ve kuvvetli oyun bilgisayarlarının kaynaklarını sömürmek için ava çıkıyor. Kaspersky uzmanlarının oyunla ilgili siber tehditlere ait son incelemesinde belirttiği üzere, hırsız tipi berbat hedefli yazılımlar ekseriyetle korsan oyunlar, hileler ve kırık yazılımlar kisvesi altında dağıtılıyor. Bu kere araştırmacılar oyunla irtibatlı diğer bir berbat maksatlı aktiflik çeşidi keşfettiler: Saldırganlar, görüntü açıklamasında kendi kendine açılan bir RAR arşivine ilişkinin yanı sıra oyunla ilgili içerik kisvesi altında kurbanların YouTube kanallarına zehirli paketler yerleştiriyor. Arşiv, ortalarında makus üne sahip RedLine hırsızının da olduğu birkaç makûs maksatlı evrak içeriyor.
Hırsız, Chromium ve Gecko tabanlı tarayıcılardan kullanıcı isimlerini, şifreleri, çerezleri, banka kartı ayrıntılarını, otomatik doldurma bilgilerini, kripto cüzdanlardan, anlık iletileşme programlarından ve FTP/SSH/VPN istemcilerinden gelen dataları ve aygıtlardaki muhakkak uzantılara sahip belgeleri yağmalıyor. Ayrıyeten RedLine, üçüncü taraf programları indirip çalıştırabiliyor, cmd.exe ile komutları çalıştırabiliyor ve temasları var iseyılan tarayıcıda açabiliyor. Hırsız, makûs niyetli spam e-postalar ve üçüncü parti yükleyiciler dahil olmak üzere çeşitli formlarda yayılıyor.
RedLine yükünün kendisine ek olarak, keşfedilen paket kendi kendini yayma kabiliyeti açısından dikkate kıymet özellikler içeriyor. Açıklamadaki pakette bulunan birkaç belge bundan sorumlu. Görüntüleri alıyor ve şifre muhafazalı arşivin irtibatlarıyla bir arada virüslü kullanıcıların YouTube kanallarına gönderiyor. Görüntüler hilelerin ve kırık yazılımların reklamını yapıyor, tanınan oyun ve yazılımların haklanmasıyla ilgili talimatlar sağlıyor. Bahsedilen oyunlar içinde APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Seçkine, Spider-Man, Stray, Thymesia, VRChat ve Walken yer alıyor.
Kurbanlar orjinal paketi indirdikten daha sonra, RAR arşivi kendi kendine açılıyor. Paket içeriği otomatik olarak çalıştırmak için bir dizi makus hedefli belge, pak yardımcı programlar ve bir de komut evrakı içeriyor. Belge isimlerinden kimileri uygunsuz bir lisan içeriyor.
Araştırmacıların gözüne takılan bir öteki öge ise korsan madenciler. Görüntüye bakan ana amaç kitle oyuncular olduğu için bu durum mantıklı, zira madencilik için kullanılabilecek ekran kartlarına sahip olmaları olası.
Kaspersky Kıdemli Güvenlik Araştırmacısı Oleg Kupreev, şunları söylüyor: “Oyuncular, siber hatalıların amaç aldığı en tanınan kümelerden biri. Bu kere saldırganlar, oyunla ilgili içeriği kurbanların kimlik ayrıntılarını çalmak ve bilgisayarlarından madencilik yapmak için yem olarak kullanıyorlar. Tavsiyemiz, oyun açlığınızı giderecek kaynakları dikkatli bir biçimde seçmeniz ve güvenilmeyen hesaplardan kuşkulu arşivleri indirmemeniz tarafında olacaktır.”
Securelist web sitesinde oyunla ilgili Redline hücumları hakkında bilgi edinebilirsiniz.
Kendinizi açık kaynaklı paketlerde gizlenmiş berbat gayeli yazılımlardan korumak için Kaspersky şunları öneriyor:
Siber hatalılar, faal olarak oyun hesaplarını ve kuvvetli oyun bilgisayarlarının kaynaklarını sömürmek için ava çıkıyor. Kaspersky uzmanlarının oyunla ilgili siber tehditlere ait son incelemesinde belirttiği üzere, hırsız tipi berbat hedefli yazılımlar ekseriyetle korsan oyunlar, hileler ve kırık yazılımlar kisvesi altında dağıtılıyor. Bu kere araştırmacılar oyunla irtibatlı diğer bir berbat maksatlı aktiflik çeşidi keşfettiler: Saldırganlar, görüntü açıklamasında kendi kendine açılan bir RAR arşivine ilişkinin yanı sıra oyunla ilgili içerik kisvesi altında kurbanların YouTube kanallarına zehirli paketler yerleştiriyor. Arşiv, ortalarında makus üne sahip RedLine hırsızının da olduğu birkaç makûs maksatlı evrak içeriyor.
Hırsız, Chromium ve Gecko tabanlı tarayıcılardan kullanıcı isimlerini, şifreleri, çerezleri, banka kartı ayrıntılarını, otomatik doldurma bilgilerini, kripto cüzdanlardan, anlık iletileşme programlarından ve FTP/SSH/VPN istemcilerinden gelen dataları ve aygıtlardaki muhakkak uzantılara sahip belgeleri yağmalıyor. Ayrıyeten RedLine, üçüncü taraf programları indirip çalıştırabiliyor, cmd.exe ile komutları çalıştırabiliyor ve temasları var iseyılan tarayıcıda açabiliyor. Hırsız, makûs niyetli spam e-postalar ve üçüncü parti yükleyiciler dahil olmak üzere çeşitli formlarda yayılıyor.
RedLine yükünün kendisine ek olarak, keşfedilen paket kendi kendini yayma kabiliyeti açısından dikkate kıymet özellikler içeriyor. Açıklamadaki pakette bulunan birkaç belge bundan sorumlu. Görüntüleri alıyor ve şifre muhafazalı arşivin irtibatlarıyla bir arada virüslü kullanıcıların YouTube kanallarına gönderiyor. Görüntüler hilelerin ve kırık yazılımların reklamını yapıyor, tanınan oyun ve yazılımların haklanmasıyla ilgili talimatlar sağlıyor. Bahsedilen oyunlar içinde APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Seçkine, Spider-Man, Stray, Thymesia, VRChat ve Walken yer alıyor.
Kurbanlar orjinal paketi indirdikten daha sonra, RAR arşivi kendi kendine açılıyor. Paket içeriği otomatik olarak çalıştırmak için bir dizi makus hedefli belge, pak yardımcı programlar ve bir de komut evrakı içeriyor. Belge isimlerinden kimileri uygunsuz bir lisan içeriyor.
Araştırmacıların gözüne takılan bir öteki öge ise korsan madenciler. Görüntüye bakan ana amaç kitle oyuncular olduğu için bu durum mantıklı, zira madencilik için kullanılabilecek ekran kartlarına sahip olmaları olası.
Kaspersky Kıdemli Güvenlik Araştırmacısı Oleg Kupreev, şunları söylüyor: “Oyuncular, siber hatalıların amaç aldığı en tanınan kümelerden biri. Bu kere saldırganlar, oyunla ilgili içeriği kurbanların kimlik ayrıntılarını çalmak ve bilgisayarlarından madencilik yapmak için yem olarak kullanıyorlar. Tavsiyemiz, oyun açlığınızı giderecek kaynakları dikkatli bir biçimde seçmeniz ve güvenilmeyen hesaplardan kuşkulu arşivleri indirmemeniz tarafında olacaktır.”
Securelist web sitesinde oyunla ilgili Redline hücumları hakkında bilgi edinebilirsiniz.
Kendinizi açık kaynaklı paketlerde gizlenmiş berbat gayeli yazılımlardan korumak için Kaspersky şunları öneriyor:
- Açık kaynak depoları, her insanın kendi paketlerini yayınlamasına müsaade verir ve bunların hepsi inançlı değildir. Örneğin saldırganlar, kullanıcıyı orjinal paketi indirdiklerini düşündürmek için bir yahut iki harfi değiştirerek tanınan açık kaynak paketlerinin kimliğine bürünebilir. Bu niçinle dikkatli olmanızı ve bu paketlere muteber muamelesi yapmamanızı öneririz.
- Genel olarak geliştirme ortamları, tedarik zinciri hücumlarını organize etmeye çalışan saldırganlar için uygun amaçlardır. Bu, bu tıp ortamların hemen Kaspersky Hybrid Cloud Security üzere kuvvetli araçlarla korunmasını gerektirir.
- Açık kaynak kodu aracılığıyla yayılan yeni makus hedefli kampanyalardan evvela haberdar olmak istiyorsanız, Tehdit İstihbarat Portalımız aracılığıyla sağlananlar üzere tehdit istihbaratı beslemelerine ve raporlarına abone olabilirsiniz.