- GeçtiÄŸimiz hafta, siber güvenlik araÅŸtırmacısı  MalwareHunterTeam, “CryptVPN” [ VirusTotal ] adlı kötü amaçlı bir yazılım örneÄŸini paylaÅŸtı.
- Ancak bu sefer kötü amaçlı yazılım geliştiricisinin masum insanları hedeflemek yerine aktif olarak çocuk pornografisi arayanları hedef aldığı fark edildi.
- BleepingComputer, kötü amaçlı yazılımı araÅŸtırdıktan sonra tehdit aktörlerinin Usenet’ten indirilen resim ve videolara “sansürsüz” eriÅŸim saÄŸlayan bir abonelik hizmeti olan UsenetClub’u taklit etmek için bir web sitesi oluÅŸturduÄŸunu tespit etti.
2012’den bu yana tehdit aktörleri, virüslü Windows kullanıcılarını CSAM görüntüledikleri konusunda uyaran devlet kurumları gibi davranan çeÅŸitli kötü amaçlı yazılım ve fidye yazılımları üretiyor. Kötü amaçlı yazılım, kurbanlara, bilgilerinin kolluk kuvvetlerine gönderilmesini önlemek için bir “ceza” ödemeleri gerektiÄŸini söylüyor.
Çocuk Pornolarına Karşı Spam Koruması veya ACCDFISA adı verilen ilk “modern” fidye yazılımı operasyonlarından biri, baÅŸlangıçta Windows masaüstlerini kilitlemek ve sonraki sürümlerde dosyaları ÅŸifrelemekle birlikte bu gasp taktiÄŸini kullandı. Kısa süre sonra, Harasom, Urausy ve Reveton truva atları gibi, CSAM’yi izlemek için ceza kesen kolluk kuvvetleri gibi davranan diÄŸer kötü amaçlı yazılım aileleri de onları takip etti.
Kötü amaçlı yazılım bu sefer istismarcıları hedef alıyor
GeçtiÄŸimiz hafta, siber güvenlik araÅŸtırmacısı  MalwareHunterTeam, benzer gasp taktiklerini kullanan “CryptVPN” [ VirusTotal ] adlı BleepingComputer ile çalıştırılabilen kötü amaçlı bir yazılım örneÄŸini paylaÅŸtı.
Ancak bu sefer kötü amaçlı yazılım geliÅŸtiricisi masum insanları hedeflemek yerine aktif olarak çocuk pornografisi arayanları hedef alıyor. BleepingComputer, kötü amaçlı yazılımı araÅŸtırdıktan sonra tehdit aktörlerinin Usenet’ten indirilen resim ve videolara “sansürsüz” eriÅŸim saÄŸlayan bir abonelik hizmeti olan UsenetClub’u taklit etmek için bir web sitesi oluÅŸturduÄŸunu tespit etti.
Usenet, insanların abone oldukları “haber gruplarında” çeÅŸitli konuları tartışmalarına olanak tanıyan çevrimiçi bir tartışma platformu. Usenet çok çeÅŸitli konularda geçerli tartışmalar için kullanılsa da aynı zamanda bilinen bir çocuk pornografisi kaynağı.
Tehdit aktörleri tarafından oluÅŸturulan sahte bir site, UsenetClub gibi davranarak sitenin içeriÄŸine üç abonelik katmanı sunuyor. Bunlardan ilk ikisi, aylık 69,99 ABD Doları ile yıllık 279,99 ABD Doları arasında deÄŸiÅŸen ücretli abonelikler. Ancak üçüncü bir seçenek, ücretsiz bir “CryptVPN” yazılımı yükleyip siteye eriÅŸmek için onu kullandıktan sonra ücretsiz eriÅŸim saÄŸladığını iddia ediyor.
“Ä°ndir ve Yükle” düğmesine tıklamak, siteden çıkarıldığında “Yüklemek için buraya tıklayın” adlı Windows kısayolu içeren bir CryptVPN.zip dosyasına yönlendiriyor.
Bu dosya, CryptVPN.exe yürütülebilir dosyasını indirmek, C:\Windows\Tasks.exe dosyasına kaydetmek ve yürütmek için argümanlar içeren PowerShell.exe yürütülebilir dosyasının bir kısayolu.
Kötü amaçlı yazılım yürütülebilir dosyası UPX ile dolu ancak paket açıldığında yazarın kötü amaçlı yazılımı “PedoRansom” olarak adlandırdığını gösteren bir PDB dizesi içeriyor.
Kötü amaçlı yazılımın özel bir yanı yok, yaptığı tek şey hedefin duvar kağıdını bir gasp talebine dönüştürmek ve masaüstüne benzer gasp tehditleri içeren README.TXT adlı bir fidye notu bırakmak.
Gasp talebinde “Çocuk istismarı ve/veya çocuklara yönelik cinsel istismar materyalleri arıyordun. Saldırıya uÄŸrayacak kadar aptaldın. Tüm bilgilerinizi topladık, ÅŸimdi bize fidye ödemelisiniz, yoksa hayatınız sona erer.” yazıyor. Gasp, kiÅŸinin Bitcoin adresine on gün içinde 500 dolar ödemesi gerektiÄŸi, aksi takdirde bilgilerinin sızdırılacağı ifade edilerek devam ediyor.
Bu bitcoin adresine ÅŸu anda yalnızca yaklaşık 86 dolarlık ödeme alındı. Tehdit aktörleri uzun süredir “seks ÅŸantajı” taktikleri kullanıyor ve genellikle çok sayıda kiÅŸiye toplu e-postalar göndererek onları korkutup gasp talebini ödemeye çalışıyor. Bu taktikler Spam gönderenlerin ilk kampanyalarda haftada 50.000 dolardan fazla gasp etmesiyle çok iyi performans gösterdi.
Ancak zaman geçtikçe ve bu dolandırıcılıkların alıcıları daha akıllı hale geldikçe, seks şantaj kampanyaları eskisi kadar gelir getirmiyor. Bu özel kampanya biraz daha yaratıcı olsa ve bu tür içerik arayan pek çok kişiyi korkutsa da muhtemelen bu şantaj talebini ödeyen çok fazla insan olmayacak.
Derleyen: Fatma Ebrar Tuncel
