(Neredeyse) hiçbir şeyin durduramadığı tehlikeli bir virüs bilgisayarları hedef alıyor

Windows çalıştıran belirli makinelerde yeni bir tehdit yayılıyor. Phemedrone Stealer adı verilen bu kötü amaçlı yazılım, kullanıcı adlarınız ve şifreleriniz gibi en hassas verilerinize saldırır.

Phemedrone Hırsızı. Bu adı unutmayın, çünkü şu anda Windows çalıştıran bilgisayarları hedef alan zorlu bir tehdittir. Trend Micro güvenlik araştırmacıları tarafından “rutin tehdit avı” sırasında tespit edilen bu özellikle kötü niyetli kötü amaçlı yazılım, Windows'ta yerel olarak kurulu antivirüs sistemi olan Microsoft Defender'ı atlama kapasitesine sahiptir.

Kimlik bilgilerinin, kripto cüzdanların ve ekran görüntülerinin çalınması

Phemedrone Stealer, kullanıcı makinelerine virüs bulaştırmak için Windows Defender Smartscreen'i etkileyen CVE-2023-36025 kusurundan yararlanıyor. Bu kusur, internet kısayollarının (.url) güvenliğinin doğrulanmamasından kaynaklanmaktadır. Sonuç olarak, bilgisayar korsanları, Smartscreen kontrolü tarafından oluşturulan uyarıyı atlayarak, kötü amaçlı komut dosyalarını indirip çalıştıran kötü amaçlı .url dosyaları oluşturma fırsatından yararlanır.

Phemedrone Stealer öncelikle web tarayıcılarının yanı sıra kripto para birimi cüzdan verilerini de hedefliyor. Örneğin Chrome'da bu kötü amaçlı yazılım çok fazla veri toplayabilir: şifreler, çerezler, LastPass, KeePass, NordPass, Google Authenticator ve hatta Microsoft Authenticator gibi şifre yöneticilerinin otomatik doldurma modüllerinde kayıtlı bilgiler. Ayrıca kişisel verilerinizi, özellikle kimlik doğrulamayla ilgili olanları çıkarmak için Steam, Telegram ve Discord gibi mesajlaşma uygulamalarına da bulaşabilir. Bir FTP istemcisi olan FileZilla gibi uygulamalar da hedefleniyor ve kötü amaçlı yazılım, programda saklanan çeşitli kimlik bilgilerinin yanı sıra FTP bağlantı ayrıntılarını da ele geçiriyor.

Github ve Telegram üzerinde tutulan bu zararlı programın C# dilinde yazılan kodu açık kaynaktır. Bilginiz olmadan bilgisayarınızın ekran görüntülerini alabilir veya kişisel verilerinizi çekebilir. Bu veriler çalındığında Telegram aracılığıyla bilgisayar korsanlarına veya onların kontrolü altındaki bir sunucuya gönderilir.

Bilgisayar korsanları, suçlarını gerçekleştirmek için Discord gibi farklı platformlarda veya FileTransfer.io gibi çevrimiçi depolama hizmetlerinde .url formatında bir dizi kısayol dosyası dağıtır. Üstüne üstlük, suyu daha da bulandırmak için shorturl.at gibi URL kısaltıcı hizmetlerini de kullanıyorlar. Geriye kalan tek şey, şüphelenmeyen bir kullanıcı olan balığın, kötü amaçlı bağlantıya tıklayarak yemi alması ve böylece ikincisinin ihlalden yararlanmasıdır.

Microsoft tarafından düzeltilen ancak hâlâ aktif olarak yararlanılan bir kusur

Bu hikayedeki en şaşırtıcı şey şüphesiz bilgisayar korsanlarının istismar ettiği kusurun geçtiğimiz Kasım ayında Microsoft tarafından düzeltilmiş olmasıdır. Yama yayınlandıktan sonra bu ihlalin ayrıntıları çevrimiçi olarak yayınlandı. Her zaman yamanın uygulanmadığı (ve bu nedenle hala savunmasız olan) makinelerin peşinde olan bilgisayar korsanları, onları hedef alan geniş çaplı bir enfeksiyon kampanyası yürütme fırsatını değerlendirdi. En son güncellemelerin bilgisayarınıza doğru şekilde yüklendiğinden emin olmak için gerekliyse başka bir neden daha.

🔴 01net'ten hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.

Kaynak :

TechRadar


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir