Bir saldırgan, Vidar ve CryptBot şifre çalma truva atlarını yükleyen, sahte VPN programını destekleyen bir web sitesi oluşturdu. Bu trojanlar, kurbanın bilgisayarındaki kayıtlı tarayıcı bilgilerini ve diğer bilgileri çalarak saldırganın bilgisayarına gönderiyor.
Farklı bir kötü amaçlı yazılım bulaşması araştırılırken BleepingComputer, "en hızlı VPN" olduğunu iddia eden 'Inter VPN' adlı bir VPN programını tanıtan bir web sitesine rastladı. Daha sonra, aslında meşru VPN Pro yazılımının bir görüntüsü olan VPN clientinin gösterildiği fark edildi.
Sahte Inter VPN Web Sitesi
İndirilen programı analiz ettikten sonra, saldırganın VPN Pro uygulamasını başka kötü amaçlı yazılımları indirmek için bir Autohotkey komut dosyası kullanan trojanın içinde yeniden paketlediği keşfedildi.
Başlatıldığında, iplogger.org'a çeşitli bilgiler gönderilecek ve daha sonra sitede yayınlanan geçerli kampanyaya bağlı olarak bitbucket.org'dan Vidar ve CryptBot çalıştırılabilir dosyalarını indiren bir AutoHotkey betiği çalıştırılacak.
Truva atları indirildiğinde, saldırganın bilgisayarına çeşitli bilgiler göndermek üzere çalıştırılacaklar. Bu bilgiler kaydedilmiş tarayıcı kimlik bilgilerini, çerezleri, masaüstünün ekran görüntüsünü, metin dosyalarını, cryptocurrency cüzdanlarını ve daha fazlasını içerir.
CryptBot trafiği
Vidar trafiği
Bu işlem sırasında, zararlı yazılım VPN Pro yazılımını da bilgisayara yükleyecektir ve veri hırsızlığı arka planda gerçekleştiği için, kurban VPN'i test ederken yanlış bir şey olduğunu düşünmeyecektir.
Meşru VPN Pro yazılımı
Kullanıcılar kendilerini korumak için ziyaret ettikleri sitenin ilişkili bir hizmet veya uygulamanın yasal URL'si olduğundan emin olmalıdır. Ayrıca, bu siteler herhangi bir indirme işlemi sunuyorsa, yürütülmeden önce VirusTotal kullanılarak taranmaları gerekir.
Kaynak:
Farklı bir kötü amaçlı yazılım bulaşması araştırılırken BleepingComputer, "en hızlı VPN" olduğunu iddia eden 'Inter VPN' adlı bir VPN programını tanıtan bir web sitesine rastladı. Daha sonra, aslında meşru VPN Pro yazılımının bir görüntüsü olan VPN clientinin gösterildiği fark edildi.
Sahte Inter VPN Web Sitesi
İndirilen programı analiz ettikten sonra, saldırganın VPN Pro uygulamasını başka kötü amaçlı yazılımları indirmek için bir Autohotkey komut dosyası kullanan trojanın içinde yeniden paketlediği keşfedildi.
Başlatıldığında, iplogger.org'a çeşitli bilgiler gönderilecek ve daha sonra sitede yayınlanan geçerli kampanyaya bağlı olarak bitbucket.org'dan Vidar ve CryptBot çalıştırılabilir dosyalarını indiren bir AutoHotkey betiği çalıştırılacak.
Truva atları indirildiğinde, saldırganın bilgisayarına çeşitli bilgiler göndermek üzere çalıştırılacaklar. Bu bilgiler kaydedilmiş tarayıcı kimlik bilgilerini, çerezleri, masaüstünün ekran görüntüsünü, metin dosyalarını, cryptocurrency cüzdanlarını ve daha fazlasını içerir.
CryptBot trafiği
Vidar trafiği
Bu işlem sırasında, zararlı yazılım VPN Pro yazılımını da bilgisayara yükleyecektir ve veri hırsızlığı arka planda gerçekleştiği için, kurban VPN'i test ederken yanlış bir şey olduğunu düşünmeyecektir.
Meşru VPN Pro yazılımı
Kullanıcılar kendilerini korumak için ziyaret ettikleri sitenin ilişkili bir hizmet veya uygulamanın yasal URL'si olduğundan emin olmalıdır. Ayrıca, bu siteler herhangi bir indirme işlemi sunuyorsa, yürütülmeden önce VirusTotal kullanılarak taranmaları gerekir.
Kaynak:
Son düzenleme:
