Dolandırıcılar, insanları yaygın bir bilgi çalma programı olan Redline kötü amaçlı yazılımını içeren sahte yükleyicileri indirmeleri için kandırmak için ExpressVPN markasını kullanıyor.
Kullanıcılar, ExpressVPN kuracaklarını düşünerek cihazlarına kötü amaçlı yazılım bulaştırıyor ve sonunda kişisel verilerini siber suçlulara kaptırıyorlar.
Kampanya, Cyble Araştırma ve İstihbarat Laboratuarlarındaki araştırmacılar tarafından keşfedildi.
Typosquatting, marka adlarına benzeyen alan adlarını, genellikle ek karakterler kullanarak veya harflerin yerine koyarak kaydetme yöntemidir.
Cyble'ın bu vakayla ilgili soruşturması sırasında keşfettiği altı örnek şunlardır:
- ekspres-vpns[.]bulut
- ekspres-vpns[.]eğlenceli
- express-vpns[.]biz
- ekspres-vpns[.]çevrimiçi
- express-vpns[.]pro
- express-vpns[.]xyz
Kullanıcılar bu sitelere kimlik avı e-postaları, kötü amaçlı reklamlar veya sosyal ağlar ve forumlardaki gönderiler yoluyla ulaşır.
Sitelerin görünümü gerçek siteye çok yakındır ExpressVPNve kötü amaçlı siteler, gerçek geliştiricinin Kara Cuma promosyonunun bir parçası olarak reklamını yaptığı "ExpressVPN" için üç aylık ücretsiz deneme bile sunuyor. Tehdit aktörleri, dolandırıcılık sitelerinin insanlara güvenilir görünmesi için geçerli SSL sertifikaları kullanmaya özen gösteriyor.
Özel teklifi almak için düğmeye tıkladığınızda ZIP dosyası indirme işlemi başlatılır. “Setup.zip” dosyası, antivirüs araçları tarafından taramayı önlemek için yapay olarak büyük bir yürütülebilir dosya (setup.exe) içerir.
Yürütülebilir dosyayı çalıştırmak, Redline'ı dijital olarak imzalanmış derleyici programına enjekte eder, böylece doğrudan bellekten güvenilir bir işlem olarak çalıştırılır ve güvenlik araçlarının alarm vermesini engeller.
Redline, Google Chrome ve Mozilla Firefox tarayıcılarında depolanan oturum açma kimlik bilgilerini, otomatik doldurma verilerini, çerezleri ve kredi kartı verilerini çalabilir. Ayrıca kripto para birimi borsalarının ve cüzdanlarının uzantılarına, soğuk cüzdan hesaplarına, Discord'a, Steam'e ve diğerlerine de saldırabilir.
Redline, karanlık ağdaki siber suçlulara aylık abonelik ücreti karşılığında satılan ve şu anda türünün en yaygın şekilde dağıtılan kötü amaçlı yazılımlarından biri olan, bilgi hırsızlığı yapan bir MaaS'dir (abonelik olarak kötü amaçlı yazılım).
Redline enfeksiyonuyla karşılaşma olasılığını en aza indirmek için yazılımı her zaman üreticilerin resmi web sitelerinden indirdiğinizden emin olun ve e-posta, SMS vb. yoluyla gönderilen bağlantılara tıklamaktan kaçının. Ayrıca, indirilen yükleyicileri çalıştırmadan önce antivirüs yazılımınızla kontrol edin ve dosya formatının uygulama türüyle eşleştiğinden emin olun.
