Uzmanlar uyardı! Yeni çıktı, bütün telefonları tehdit ediyor!
Siber güvenlik araştırmacıları, nitelikten ziyade niceliğe öncelik verdiği görülen yeni ve oldukça benzersiz bir kötü amaçlı yazılım kampanyası gözlemledi.
Bilgisayar korsanları bir cihazı ele geçirdiklerinde, genellikle tek bir kötü amaçlı yazılım parçası dağıtırlar ve bilgisayarı nihai hedefleri için kullanırken görünmez ve kalıcı olmak için ellerinden geleni yaparlar.
Ancak Unfurling Hemlock adlı bu yeni kampanya bunun tam tersini yaparak siber suç dünyasında öne çıkmasını sağlıyor. Araştırmacılar, kurbanın kötü amaçlı yazılım yürütülebilir dosyalarını etkinleştirdiğinde, bir avuç farklı kötü amaçlı yazılım, bilgi hırsızı ve botnet yürütülebilir dosyası aldığını söylüyor.
KÖTÜ AMAÇLI YAZILIM KÜME BOMBASI
Kötü amaçlı yazılımın siber güvenlik çözümleri tarafından yakalanması muhtemeldir, ancak araştırmacılar saldırganların en azından bazı yüklerin tasfiyeden kurtulacağını umduklarına inanmaktadır.
Cihazlara bırakılan yükler arasında Redline (popüler bir bilgi hırsızı), RisePro (yakında çıkacak bir bilgi hırsızı), Mystic Stealer (hizmet olarak kötü amaçlı yazılım bilgi hırsızlığı), Amadey (yükleyici), SmokeLoader (başka bir yükleyici), Protection Disabler (Windows Defender ve diğer güvenlik özelliklerini devre dışı bırakan bir yardımcı program), Enigma Packer (gizleme aracı), Healer (güvenlik önleme çözümü) ve Performance Checker (kötü amaçlı yazılım yürütme performansını izleyen ve günlüğe kaydeden bir yardımcı program) bulunuyor.
Araştırmacılar, bu "kötü amaçlı yazılım küme bombasının" ilk olarak Şubat 2024'te keşfedildiğini söyledi. Hepsi Unfurling Hemlock ile bağlantılı benzersiz özelliklere sahip 50.000'den fazla küme bombası dosyası gördüklerini iddia ettiler.
KrakenLabs, Unfurling Hemlock'un arkasındaki tehdit aktörlerinin kim olduğunu kesin olarak söyleyemez, ancak Doğu Avrupa kökenli olduklarından oldukça eminler.
Bu yöne işaret eden kanıtlardan bazıları, bazı örneklerde Rusça dilinin kullanılması ve bölgedeki siber suç gruplarının yaygın olarak kullandığı bir barındırma hizmetiyle ilgili Otonom Sistem 203727'nin kullanılmasıdır.
Neyse ki, bu kampanya aracılığıyla dağıtılan kötü amaçlı yazılım iyi biliniyor ve çoğu saygın antivirüs programı tarafından işaretleniyor.