Bilgisayar korsanları, yeni keşfedilen bir kötü amaçlı yazılım kampanyası popüler hack araçlarını kötü amaçlı yazılımlarla yeniden paketlemeye başlayan diğer bilgisayar korsanlarının hedefi haline geldiklerini gösteriyor.
Çok yıllı kampanya ilk olarak güvenlik stratejisi başkan yardımcısı ve Cybereason, Bilgisayar korsanlarının mevcut hack araçlarını güçlü bir enjekte ederek değiştirmeye başladığını tespit eden Amit Serper uzaktan erişimli truva atı bunların içine. Değiştirilen bu araçlar açıldığında, bilgisayar korsanlarına hedefin bilgisayarına tam erişim sağlar.
Serper'e göre, saldırganlar yeniden paketlenmiş araçlarını popüler yayınlarda yayınlamayı oldukça kolaylaştırdı forumları kesmek.
Bununla birlikte, bu yeniden paketlenmiş araçlar, bilgisayar korsanlarına sadece bir hedefin bilgisayarına erişim sağlamakla kalmaz, aynı zamanda saldırganların zaten ihlal ettikleri diğer bilgisayarları veya ağları kullanmalarına izin veren sistemlerine bir arka kapı açar.
njRat truva atı
Kampanya araştırması sırasında Serper, bu saldırıların arkasındaki bilgisayar korsanlarının hack araçlarını njRat trojanına enjekte ettiğini ve yeniden paketlediğini buldu. Bu truva atı, saldırgana bir hedefin masaüstüne, dosyalarına, parola web kameralarına ve mikrofonlarına tam erişim sağlar.
njRat 2013'ten beri var ve Orta Doğu'daki hedeflere karşı sıkça kullanılıyor. Genellikle yayılır kimlik avı e-postaları ve virüslü flash sürücüler, ancak son zamanlarda bilgisayar korsanları tespit edilmemek için hareketsiz veya güvenli olmayan web sitelerine kötü amaçlı yazılım enjekte etmeye başladı.
Hackerlar bir kez daha njRat yaymak için bu tekniği kullanıyorlar ve Serper'e göre, yüzlerce njRat kötü amaçlı yazılım örneğini barındırmak için birkaç web sitesinin güvenliğini ihlal ettiler. İçinde Blog yazısı, bu son kampanya ve konuyla ilgili soruşturması hakkında daha fazla ayrıntı sağlayarak şunları söyledi:
“Bu araştırma, neredeyse günlük olarak derlenen ve oluşturulan yaklaşık 1000 njRat örneğini ortaya çıkardı. Birçok kişinin bu kampanyadan enfekte olduğunu varsaymak güvenlidir (şu anda tam olarak kaçını bilemiyoruz). Bu kampanya sonuçta tehdit aktörlerine hedef makineye tam erişim sağlar, böylece DDoS saldırıları yapmaktan hassas verileri makineden çalmaya kadar her şey için kullanabilirler. Bu kampanyanın arkasındaki tehdit aktörlerinin, bazıları WordPress bloglarına saldırıya uğramış gibi görünen birden çok sunucu kullandıkları açıktır. Diğerleri, birden fazla ana makine adı, DNS verisi vb. Değerlendirerek tehdit grubunun sahip olduğu altyapı gibi görünüyor. ”
Bu kampanya zaten yıllardır uygulandığı için, bilgisayar korsanlarına kendi ilaçlarının tadını verirken bunu yapmaya devam edecektir.
Üzerinden TechCrunch
Bir yanıt bırakın