Zararlı Yazılım

Hackerlardan ‘Trump’lı sahte video tuzağı

Siber güvenlik araştırmacıları, ABD Başkanı Donald Trump’a ait sahte bir videoyu içerdiği iddia edilen ve Uzaktan Erişim Truva Atı (RAT) yerleştirerek gerçekleştirilen yeni bir malspam (zararlı spam) saldırısı ortaya çıkardı.

Siber saldırı,“GOOD Loan Offer!!” (Kredide İyi fırsat) başlığı ve “TRUMP_SEX_SCANDAL_VIDEO.jar” adlı bir Java arşiv (JAR) dosyasıyla birlikte gelen e-postaların indirilmesi sonucunda sisteme Qua veya Quaverse RAT (QRAT) yüklenmesi ile gerçekleşiyor. Bir başka deyişle, gelen dosyaya tıklamak, Qnode Uzaktan Erişim Truva Atı’nın (RAT) Windows işletim sistemli bilgisayarınıza indirilmesine ve bir hackerın bilgisayarınıza ve tüm dosyalarınıza uzaktan erişim sağlamasına yol açabiliyor.

HER ŞEY SPAM MAIL’ E TIKLAMAKLA BAŞLIYOR 

Söz konusu saldırı, Trustwave araştırmacılarının Ağustos ayında keşfettiği Windows tabanlı QRAT indiricisinin bir çeşidi. Bulaşma zinciri, her ikisi de Allatori Java engelleyici kullanılarak şifrelenen bir JAR dosyası (“Spec # 0034.jar”) alan, kötü amaçlı bir zip dosyasına yönlendiren gömülü bir ek ya da link içeren bir spam mesajıyla başlamakta.

Bu birinci kademe indirici, Node.Js platformunu sisteme kuruyor ve ardından kalıcılığı sağlamaktan ve Qnode RAT dosyasını (“qnode-win32-ia32.”) saldırgan tarafından kontrol edilen bir sunucudan çekmekten ve çalıştırmaktan sorumlu “wizard.js” adlı ikinci kademe indiriciyi kuruyor ve çalıştırıyor.  

Sahte Chrome güncellemesiyle binlerce kişiye saldırdılar

 

VAROLAN TRUVA ATINA POP-UP EKLENDİ 

QRAT, sistem bilgilerini alma, dosya işlemlerini gerçekleştirme ve Google Chrome, Firefox, Thunderbird ve Microsoft Outlook gibi uygulamalardan kimlik bilgileri alma gibi çeşitli özelliklere sahip tipik bir uzaktan erişim Truva atı. Bu son saldırıda değişen şey ise kurbana çalıştırılan JAR dosyasının sızma testi için kullanılan bir uzaktan erişim yazılımı olduğunu bildiren yeni bir pop-up (açılır pencere) eklenmesi. Trustwave’in güvenlik araştırmacısı Diana Lopera’ya göre bu açılır pencere uygulamayı meşru gösterme veya sorumluluğu orijinal yazılımı geliştirenlerden alma girişimi olabilir. 

 

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu
%d blogcu bunu beğendi: