Emniyet yetkilileri, SmokeLoader kötü amaçlı yazılımının müşterilerini tespit ettiklerini ve en az beş kişiyi gözaltına aldıklarını duyurdu.
Europol tarafından yapılan açıklamada, “Koordine edilen bir dizi operasyonla, ‘Superstar’ takma adlı kişi tarafından işletilen Smokeloader ‘pay-per-install’ botnet hizmetinin müşterileri; tutuklamalar, ev aramaları veya yakalama emirleri gibi sonuçlarla karşılaştı” denildi.
Superstar’ın, müşterilerinin kurban makinelerine yetkisiz erişim elde etmesine olanak tanıyan, yükleyiciyi kendi tercih ettikleri sonraki aşama zararlı yazılımları dağıtmak için bir kanal olarak kullanan bir hizmet işlettiği iddia ediliyor.
Avrupa Kolluk Kuvvetleri Ajansı’na göre, botnet aracılığıyla sağlanan erişim; keylogger, web kamerası erişimi, fidye yazılımı dağıtımı ve kripto para madenciliği gibi çeşitli amaçlarla kullanıldı.
Bu son operasyon, geçen yıl IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee ve TrickBot gibi birçok zararlı yazılım yükleyici altyapısının çökertilmesine yol açan Operation Endgame adlı devam eden koordineli bir çalışmanın parçası.
Kanada, Çek Cumhuriyeti, Danimarka, Fransa, Almanya, Hollanda ve ABD’nin katıldığı bu takip operasyonu, siber suç ekosisteminin “talep tarafına” odaklanmayı amaçlıyor.
Europol’e göre yetkililer, daha önce ele geçirilen bir veritabanına kayıtlı olan müşterileri izledi, çevrim içi kimliklerini gerçek kişilerle eşleştirerek onları sorguya çağırdı. Belirtilmeyen sayıda şüphelinin işbirliğini seçtiği ve dijital delil toplamak amacıyla kişisel cihazlarının incelenmesine izin verdiği düşünülüyor.
Europol, “Bazı şüpheliler, SmokeLoader’dan satın aldıkları hizmetleri kârla yeniden sattı ve bu da soruşturmaya ek bir boyut kattı” dedi. “Bazı şüpheliler artık kolluk kuvvetlerinin radarında olmadıklarını düşünüyordu, ancak hâlâ hedef alındıklarını acı bir şekilde fark ettiler.”
Zararlı Yazılım Yükleyicilerinin Çeşitli Türleri Var
Bu gelişme, Broadcom’a ait Symantec’in, Windows ekran koruyucu (SCR) dosya formatını kullanan ve kurban makinelerde ModiLoader (diğer adlarıyla DBatLoader, NatsoLoader) adlı Delphi tabanlı bir zararlı yazılım yükleyiciyi dağıtan bir oltalama kampanyasının detaylarını açıklamasıyla aynı zamana denk geliyor.
Ayrıca, kullanıcıları kötü amaçlı Windows yükleyici (MSI) dosyalarını çalıştırmaları için kandırarak Legion Loader adlı başka bir yükleyici yazılımı dağıtan kaçamak bir web kampanyası da dikkat çekiyor.
Palo Alto Networks’ün Unit 42 birimi, “Bu kampanya, izleyicilerin Çalıştır penceresine içerik yapıştırmasını gerektirdiğinden ‘pastejacking’ veya ‘clipboard hijacking’ olarak adlandırılan bir yöntemi kullanıyor” dedi. Ayrıca, CAPTCHA sayfaları ve kötü amaçlı yazılım indirme sitelerini blog siteleri gibi gizleyerek tespit edilmekten kaçmak için çeşitli gizleme stratejileri uygulandığını belirtti.
Oltalama kampanyaları, Koi Loader adlı yükleyici yazılımın dağıtım aracı olarak da kullanıldı. Bu yazılım daha sonra çok aşamalı bir enfeksiyon zincirinin parçası olarak Koi Stealer adlı bilgi çalan yazılımı indirip çalıştırıyor.
eSentire tarafından geçen ay yayımlanan bir rapora göre, Koi Loader ve Koi Stealer gibi yazılımların sanal makineleri tespit ederek analizden kaçma yetenekleri, modern tehditlerin analistler, araştırmacılar ve sandbox sistemleri tarafından tespit edilmesinin ne kadar zorlaştığını gösteriyor.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment