Uzaktan erişim araçları veya kısaca RAT, büyük bir tehdit olmaya devam ediyor. Malwarebytes kısa süre önce Ajan Tesla etrafında dönen Nijeryalı bir dolandırıcı grubun maskesini düşürdü. Neyse ki grupla çalışan tam zamanlı profesyoneller yoktu: test e-postaları gönderdiler ve böylece IP adreslerini açıkladılar.
Veri hırsızı "Ajan Tesla", 2014 yılından beri aktif olan ve artık e-posta spam kampanyalarında gözlemlenebilen en popüler kötü amaçlı dosyalardan biri olan bir uzaktan erişim aracıdır (RAT). Malwarebytes, Ukrayna'yı hedef alan tehditleri araştırırken, birkaç yıldır yoğun bir şekilde kimlik avı ve diğer veri hırsızlığı biçimlerine karışan yeni bir grup belirledi. Bunun arkasındaki ironi: Ana tehdit aktörlerinden biri kendi bilgisayarına da bir Ajan Tesla ikili programı bulaştırmıştı.
Yaklaşık 1 milyon giriş bilgisi çalındı
Dolandırıcının faaliyetleri birkaç yıl önce klasik avans dolandırıcılığı (419 dolandırıcılığı) ile başladı. Bu arada dolandırıcı, Ajan Tesla kampanyalarını başarıyla yürütüyor. Son iki yılda kurbanlarından neredeyse bir milyon oturum açma bilgilerini bu şekilde çalmayı başardı.
Ajan Tesla ile Ukrayna e-postası kullanan bir e-posta kampanyası, Malwarebytes'in dolandırıcıların izini sürmesine yol açtı. Malwarebytes Tehdit İstihbarat Ekibi'nin soruşturması, Final Payment.msg olarak tercüme edilen Ukrayna dilinde Остаточний платіж.msg başlıklı bir e-posta ile başladı. E-posta, yürütülebilir bir dosya içeren bir arşivi indiren ve tehdit istihbaratı ekibini dolandırıcının izine götüren bir dosya paylaşım sitesine bağlantı içeriyordu.
Yürütülebilir dosya aslında kötü niyetli bir Ajan Tesla Stealer'dır. Bu, verileri çeşitli şekillerde sızdırabilir. Arkasındaki teknik oldukça basittir: sadece her kurbanın çalınan kimlik bilgileriyle kendisine mesajlar gönderen bir e-posta hesabı gerektirir.
Test mesajları saldırganın IP adresini ortaya çıkarır
Saldırgan, aynı hesaptan bir dizi "Test başarılı!" mesajı gönderdi. Saldırganların genellikle Ajan Tesla ile iletişimin doğru yapılandırılıp yapılandırılmadığını kontrol etmek için bu tür mesajları kullandığı bilinmektedir. Ancak, e-postaların bariz nedenlerle daha sonra silinmesi gerekirdi. Ancak tehdit aktörü bu davada bunu yapmadı. Bunu yaparken, kendi IP adresini ortaya çıkardı ve Malwarebytes, Nijerya'nın Lagos kentindeki adresi bulabildi. Bu nedenle Malwarebytes, keşfedilen dolandırıcı grubuna "Nijeryalı Tesla" adını verdi.
Aynı IP adresinden, test e-postaları olmayan, gerçek bir Ajan Tesla uygulamasından gelen 26 e-posta daha gönderildi. Saldırgan böylece kendi bilgisayarına da bulaşmayı başarmıştır.
Saldırgan farklı adlar ve e-posta hesapları altında çalışır
Örneğin, saldırgan geçmişteki kimlik avı ve veri hırsızlığı operasyonlarında Rita Bent, Lee Chen ve John Cooper adlarının yanı sıra "25" dizesini içeren 1985'ten fazla farklı e-posta hesabı ve parola kullanmıştır. Çok sayıda profilden, tehdit aktörünün en azından 2014'te başlayan kapsamlı bir kariyere sahip olduğu görülebilir. O zamanlar Rita Bent adı altında klasik dolandırıcılıklar yürütüyordu.
Grup tarafından tercih edilen bir başka dolandırıcılık, Adobe oturum açma sayfaları kisvesi altında yapılan kimlik avıydı. Malwarebytes güvenlik araştırmacıları, 2015'ten yakın zamana kadar dağıtılan çok sayıda sahte Adobe açılış sayfasının kayıtlarına sahiptir.
Veri saldırılarının arkasında kim var?
Nijerya'da bulunan IP adresinin arkasında EK isimli bir adam var.Aslında bu tehdit aktörü 2016 yılında hala kendi fotoğraflarını paylaşıyordu.Ehliyetine ait bir fotoğraf da takibe alınmıştı. Bu da 1985 doğumlu olduğunu gösteriyor. Sonuç olarak tablo şöyle: Yasadışı faaliyetlerin gerçekleştirildiği e-posta hesaplarının birçok şifresinde doğum yılı 1985 kullanıldı.
Şu anda dolandırıcı grubun diğer üyeleri hakkında çok az bilgi var. Ancak EK, en önemli role sahip ve en azından Nijerya Tesla'sını orijinal olarak hayata geçiren kişi gibi görünüyor.
Nijeryalı Tesla, yaklaşık 800.000 kurbandan toplam 28.000'den fazla farklı kimlik bilgisi çaldı. Bu, bu tür kampanyaların ne kadar basit ama etkili olabileceğini gösteriyor. EK vakası, sonunda kötü amaçlı yazılım dağıtımı dünyasına geçmeden önce klasik avans ücreti dolandırıcılığını (419 dolandırıcılığı) gerçekleştiren bir tehdit aktörünün ilginç bir evrimini de gösteriyor. Malwarebytes kullanıcıları Ajan Tesla'dan korunur. Saldırgan Spyware.Password.Stealer olarak tespit edildi.
Malwarebytes.com'da daha fazlası
Malwarebytes Hakkında Malwarebytes, ev kullanıcılarını ve işletmeleri tehlikeli tehditlerden, fidye yazılımlarından ve antivirüs programlarının tespit edemediği açıklardan yararlanmaya karşı korur. Malwarebytes, özel kullanıcılar ve şirketler için modern siber güvenlik tehditlerini önlemek için diğer antivirüs çözümlerinin yerini tamamen alıyor. 60.000'den fazla şirket ve milyonlarca kullanıcı, ortaya çıkan tehditleri önlemek ve eski güvenlik çözümlerinin kaçırdığı kötü amaçlı yazılımları ortadan kaldırmak için Malwarebyte'ın yenilikçi makine öğrenimi çözümlerine ve güvenlik araştırmacılarına güveniyor. Daha fazla bilgi için www.malwarebytes.com adresini ziyaret edin.