Lale Çorumlu

Araştırmacılar, çeşitli dosya paylaşım ve mesajlaşma platformlarının kullanıcılarına ait kripto cüzdanlarını çalmaya çalışan yeni bir Echelon kimlik hırsızı kötü amaçlı yazılım çeşidi keşfettiler.

Ne keşfedildi?

• Saldırganlar, Telegram tanıtıcısı Smokes Night'ı kullanarak kötü amaçlı yazılımı yayarken tespit edildi. 
• Araştırmacılar, kampanyanın bir püskürtme ve dua etme çabası olduğuna ve herhangi bir koordineli kampanyanın parçası olmadığına inanıyor.
• Saldırganlar, kripto para birimiyle ilgili tartışmalara odaklanan bir Telegram kanalında gönderi paylaşarak acemi ve şüphelenmeyen kullanıcıları cezbetmeye çalıştı. Nihai hedef, kullanıcılara Echelon bilgi hırsızı bulaştırmaktı.

Echelon bilgi hırsızı

• Echelon, FileZilla, Discord, Outlook, Edge, OpenVPN ve Telegram gibi popüler dosya paylaşım platformlarından ve mesajlaşma uygulamalarından giriş bilgilerini çalmayı hedefliyor.
• Ayrıca Exodus, BitcoinCore, ByteCoin, Jaxx, AtomicWallet ve Monero dahil olmak üzere çeşitli kripto para cüzdanlarının kimlik bilgilerini de hedefler.

Ek teknik ayrıntılar

• Echelon yükü, üç dosyadan oluşan bir RAR dosyası "present).rar" içinde teslim edilir: "pass – 123.txt" (bir parola içeren orijinal bir metin dosyası), "DotNetZip.dll" (olmayanları içeren bir sınıf kitaplığı dosyası). -zip dosyalarını işlemek için ayarlanmış kötü amaçlı araçlar) ve "Present.exe" (kimlik bilgilerini çalan kötü amaçlı yürütülebilir yük).
• Echelon kötü amaçlı yazılımı, kötü amaçlı süreci algılar ve hata ayıklayıcı veya kötü amaçlı yazılım analiz araçları tespit eder etmez sonlandıracak olan iki hata giderme önleme işlevi içerir.
• Ayrıca, kötü amaçlı yazılım, kodunu daha da şaşırtmak için açık kaynaklı ConfuserEx aracını kullanır.

Bitiş notları

Kaynak: https://cyware.com/news/echelon-infostealer-drops-in-via-telegram-0b5a3d87