- Geçtiğimiz hafta, siber güvenlik araştırmacısı MalwareHunterTeam, “CryptVPN” [ VirusTotal ] adlı kötü amaçlı bir yazılım örneğini paylaştı.
- Ancak bu sefer kötü amaçlı yazılım geliştiricisinin masum insanları hedeflemek yerine aktif olarak çocuk pornografisi arayanları hedef aldığı fark edildi.
- BleepingComputer, kötü amaçlı yazılımı araştırdıktan sonra tehdit aktörlerinin Usenet’ten indirilen resim ve videolara “sansürsüz” erişim sağlayan bir abonelik hizmeti olan UsenetClub’u taklit etmek için bir web sitesi oluşturduğunu tespit etti.
2012’den bu yana tehdit aktörleri, virüslü Windows kullanıcılarını CSAM görüntüledikleri konusunda uyaran devlet kurumları gibi davranan çeşitli kötü amaçlı yazılım ve fidye yazılımları üretiyor. Kötü amaçlı yazılım, kurbanlara, bilgilerinin kolluk kuvvetlerine gönderilmesini önlemek için bir “ceza” ödemeleri gerektiğini söylüyor.
Çocuk Pornolarına Karşı Spam Koruması veya ACCDFISA adı verilen ilk “modern” fidye yazılımı operasyonlarından biri, başlangıçta Windows masaüstlerini kilitlemek ve sonraki sürümlerde dosyaları şifrelemekle birlikte bu gasp taktiğini kullandı. Kısa süre sonra, Harasom, Urausy ve Reveton truva atları gibi, CSAM’yi izlemek için ceza kesen kolluk kuvvetleri gibi davranan diğer kötü amaçlı yazılım aileleri de onları takip etti.
Kötü amaçlı yazılım bu sefer istismarcıları hedef alıyor
Geçtiğimiz hafta, siber güvenlik araştırmacısı MalwareHunterTeam, benzer gasp taktiklerini kullanan “CryptVPN” [ VirusTotal ] adlı BleepingComputer ile çalıştırılabilen kötü amaçlı bir yazılım örneğini paylaştı.
Ancak bu sefer kötü amaçlı yazılım geliştiricisi masum insanları hedeflemek yerine aktif olarak çocuk pornografisi arayanları hedef alıyor. BleepingComputer, kötü amaçlı yazılımı araştırdıktan sonra tehdit aktörlerinin Usenet’ten indirilen resim ve videolara “sansürsüz” erişim sağlayan bir abonelik hizmeti olan UsenetClub’u taklit etmek için bir web sitesi oluşturduğunu tespit etti.
Usenet, insanların abone oldukları “haber gruplarında” çeşitli konuları tartışmalarına olanak tanıyan çevrimiçi bir tartışma platformu. Usenet çok çeşitli konularda geçerli tartışmalar için kullanılsa da aynı zamanda bilinen bir çocuk pornografisi kaynağı.
Tehdit aktörleri tarafından oluşturulan sahte bir site, UsenetClub gibi davranarak sitenin içeriğine üç abonelik katmanı sunuyor. Bunlardan ilk ikisi, aylık 69,99 ABD Doları ile yıllık 279,99 ABD Doları arasında değişen ücretli abonelikler. Ancak üçüncü bir seçenek, ücretsiz bir “CryptVPN” yazılımı yükleyip siteye erişmek için onu kullandıktan sonra ücretsiz erişim sağladığını iddia ediyor.
“İndir ve Yükle” düğmesine tıklamak, siteden çıkarıldığında “Yüklemek için buraya tıklayın” adlı Windows kısayolu içeren bir CryptVPN.zip dosyasına yönlendiriyor.
Bu dosya, CryptVPN.exe yürütülebilir dosyasını indirmek, C:\Windows\Tasks.exe dosyasına kaydetmek ve yürütmek için argümanlar içeren PowerShell.exe yürütülebilir dosyasının bir kısayolu.
Kötü amaçlı yazılım yürütülebilir dosyası UPX ile dolu ancak paket açıldığında yazarın kötü amaçlı yazılımı “PedoRansom” olarak adlandırdığını gösteren bir PDB dizesi içeriyor.
Kötü amaçlı yazılımın özel bir yanı yok, yaptığı tek şey hedefin duvar kağıdını bir gasp talebine dönüştürmek ve masaüstüne benzer gasp tehditleri içeren README.TXT adlı bir fidye notu bırakmak.
Gasp talebinde “Çocuk istismarı ve/veya çocuklara yönelik cinsel istismar materyalleri arıyordun. Saldırıya uğrayacak kadar aptaldın. Tüm bilgilerinizi topladık, şimdi bize fidye ödemelisiniz, yoksa hayatınız sona erer.” yazıyor. Gasp, kişinin Bitcoin adresine on gün içinde 500 dolar ödemesi gerektiği, aksi takdirde bilgilerinin sızdırılacağı ifade edilerek devam ediyor.
Bu bitcoin adresine şu anda yalnızca yaklaşık 86 dolarlık ödeme alındı. Tehdit aktörleri uzun süredir “seks şantajı” taktikleri kullanıyor ve genellikle çok sayıda kişiye toplu e-postalar göndererek onları korkutup gasp talebini ödemeye çalışıyor. Bu taktikler Spam gönderenlerin ilk kampanyalarda haftada 50.000 dolardan fazla gasp etmesiyle çok iyi performans gösterdi.
Ancak zaman geçtikçe ve bu dolandırıcılıkların alıcıları daha akıllı hale geldikçe, seks şantaj kampanyaları eskisi kadar gelir getirmiyor. Bu özel kampanya biraz daha yaratıcı olsa ve bu tür içerik arayan pek çok kişiyi korkutsa da muhtemelen bu şantaj talebini ödeyen çok fazla insan olmayacak.
Derleyen: Fatma Ebrar Tuncel