“Kaspersky” mütəxəssisləri yeni zərərli alətləri təhlil ediblər. Onlardan biri olan “Lumma” stileri (stealer) kriptovalyuta pul kisələrindən əməliyyat tarixçələrini oğurlayır.
“Lumma” nədir? Onun xəbərçisi ilk dəfə 2018-ci ilin mayında aşkarlanan “Arkei” stileri olub. “Lumma” “Arkei”nin yeni versiyasıdır. O, .docx fayllarını .pdf formatına çevirmək üçün yaradılan saxta veb sayt vasitəsilə yayılır. Yüklənmiş fayllar ikiqat genişləndirmə ilə .pdf.exe formatında qaytarılır və onları açmağa çalışan zaman kompüterə zərərli proqram quraşdırılır. Stiler keşlənmiş faylları, konfiqurasiya fayllarını və kriptovalyuta cüzdanlarının əməliyyat tarixçələrini oğurlaya bilər. O, brauzer əlavəsi kimi işləyir və “Binance” tətbiqi ilə uyğunluq yaradır. “Lumma” həmçinin stilerin əvvəlki versiyalarında olmayan xüsusiyyətlərə malikdir – sistem proseslərinin siyahılarını əldə etmək, daha təkmil şifrələmə texnikası və komanda və idarəetmə serveri tərəfindən göndərilən dinamik konfiqurasiya fayllarından istifadə.
“Zanubis”in təkamülü. Qanuni tətbiqlər adı altında Perudan olan istifadəçilər tərəfindən hücumlarda istifadə edilən bank troyanı “Zanubis” 2022-ci ildən bəri məlumdur. O, “Accessibility Services” (xüsusi imkanlar xidməti) sistemlərinə daxil olmaq icazəsini ələ keçirir. Əvvəlcə “Android”də maliyyə və kriptovalyuta xidmətləri kimi maskalanmışdı və 2023-cü ilin aprelində Peru Milli Gömrük və Vergi Administrasiyasının (SUNAT) rəsmi tətbiqini təqlid edən versiyası meydana çıxıb. Kodu qarışdırmaq üçün “Zanubis” məşhur “Android” proqram faylı “Obfuscapk”dan istifadə edir. Bu troyan proqramlarda veb səhifələrin açılmasına cavabdeh olan “WebView” sistem komponentindən istifadə edərək gerçək “SUNAT” veb-saytını yükləyir.
Mütəxəssislər müəyyən ediblər ki, troyan komanda serveri ilə əlaqə yaratmaq üçün “WebSocket” protokolundan və “Socket.IO” kitabxanasından istifadə edir. Bu, ona uyğunlaşmağa və problem yarandıqda belə əlaqədə qalmağa imkan verir. Bir çox müasir zərərli proqram kimi, “Zanubis”də də hücum üçün tətbiqlərin sabit siyahısı yoxdur: təcavüzkarlar bu siyahını hər bir xüsusi cihaz üçün fərdiləşdirə bilərlər. Bu halda, zərərli proqram ikinci əlaqə kanalını yarada bilər ki, bu da ona cihaz üzərində tam nəzarəti əldə etməyə və hətta “Android” yeniləməsi adı altında onu tamamilə bloklamağa imkan verir.
Yeni şifrələyici/yükləyici. “Kaspersky” mütəxəssisləri həmçinin yeraltı forumlarda satılan, bu yaxınlarda kəşf edilmiş şifrələyici/yükləyici “ASMCrypt”i də təhlil ediblər. Bu cür alətlərdən yükləmə prosesinin özünü və ya digər zərərli proqramları gizlətmək üçün istifadə olunur. “ASMCrypt” “DoubleFinger” yükləyicisinin daha təkmil versiyasıdır və TOR şəbəkəsində çalışan xidmət üçün “fasad” kimi istifadə olunur. Alıcılar yoluxma üsullarını, hücum hədəflərini, başlanğıc parametrlərini və müxtəlif zərərli proqram imkanlarını fərdiləşdirə bilərlər. Zərərli funksionallıq hostinq saytına yüklənmiş “.png” formatında olan şəklin içərisində gizlənir.
“Mənfəət dalınca qaçan təcavüzkarlar kriptovalyuta mövzusundan fəal şəkildə istifadə edir və dövlət qurumlarının tətbiqlərini təqlid edirlər. “Lumma” stileri və “Zanubis” troyanı nümunəsindən istifadə edərək, zərərli proqram mənzərəsinin və bu cür kibertəhlükələrin təbiətinin necə dəyişdiyini görə bilərik. Kibertəhlükəsizlik mütəxəssisləri zərərli kod və hücumçu taktikasında dəyişiklikləri daim izləməlidirlər. İnkişaf etməkdə olan təhdidlərdən qorunmaq üçün təşkilatların sayıq qalması və onların necə inkişaf etdiyindən xəbərdar olması vacibdir. Hesabatlarımız ən son zərərli alətlər və hücum üsulları haqqında məlumatlar təqdim edir. Bu, bizə rəqəmsal təhlükəsizlik uğrunda mübarizədə bir addım öndə olmağa imkan verir”, – deyə “Kaspersky”-nin informasiya təhlükəsizliyi təhdidləri üzrə aparıcı tədqiqatçısı Tatyana Şişkova qeyd edir.
Hesabatın tam mətni ilə Securelist saytında tanış ola bilərsiniz.
Bu cür kibertəhlükələrdən qorunmaq üçün “Kaspersky” mütəxəssisləri tövsiyə edirlər:
• təcavüzkarlar tərəfindən əldə edilə bilməyən məlumatların oflayn ehtiyat nüsxələrini yaradın, beləliklə, onlardan fövqəladə hallarda daha tez istifadə edə bilərsiniz;
• bütün son nöqtələr üçün fidyə proqramlarından müdafiə proqramını quraşdırın. Pulsuz “Kaspersky Anti-Ransomware Tool” kompüterləri və serverləri fidyə proqramları və digər zərərli proqramlardan qoruyur, həmçinin eskploytlarla mübarizə aparır və əvvəllər quraşdırılmış təhlükəsizlik həlləri ilə uyğunlaşa bilir;
• fərdi istifadəçilər – “Kaspersky Premium” kimi etibarlı həll ilə pul kisəsinin internetə qoşulduğu bütün cihazları qoruyun;
• şirkətlər – kibertəhlükəsizlik əməkdaşlarına, məsələn, “Threat Intelligence” xidmətlərindən istifadə etməklə, təcavüzkarların ən son taktikaları, texnikaları və prosedurları haqqında müasir məlumatlar əldə etmələrinə kömək edin.