Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), MetaStealer kötü amaçlı yazılımını kullanarak ABD’ye sığınma arayan bireyleri hedef alan devam eden bir kampanya tespit etti.
Bu karmaşık saldırı, ABD’li sığınmacılara yönelik bir siber saldırı başlatma potansiyeli taşıyan, kendisini PDF belgesi olarak gizleyen kötü amaçlı bir ZIP arşiv dosyasının dağıtımını içeriyor.
11 Ocak’ta CRIL, “case2.09-cv-03795.zip” adlı bir ZIP arşiv dosyasına rastladı ve şüpheli bir URL’ye (hxxps://courtnation) kadar izini sürdü[.]shop/case2.09-cv-03795[.]zip). Soruşturma, bu bağlantının spam e-postalar yoluyla yayılabileceği ve saldırıya bir sosyal mühendislik unsuru ekleyebileceği yönündeki endişeleri artırdı.
MetaStealer Kötü Amaçlı Yazılım ve ABD’li Sığınmacılara Yönelik Siber Saldırı
Kurban ZIP dosyasını açtığında, masum görünen “case2.09-cv-03795.pdf” adlı bir PDF dosyası ortaya çıkıyor. Ancak bu PDF aslında tehdidin gerçek doğasını gizleyen, akıllıca gizlenmiş bir LNK kısayol dosyasıdır. Aldatıcı PDF’yi açtıktan sonra LNK dosyası, MetaStealer kötü amaçlı yazılımının yayılmasına yol açan bir dizi eylemi gerçekleştirir.
CRIL’e göre, saldırının yürütme akışı, DLL yan yüklemesi kullanılarak bir VPN uygulamasının başlatılmasını ve gizli kötü amaçlı bir DLL dosyasının ZIP arşivinden etkili bir şekilde yüklenmesini içeriyor. Bu DLL, aldatıcı bir PDF yemi indiren bir MSI yükleyicisini devre dışı bırakarak kurban için bir normallik görünümü yaratır.
Eş zamanlı olarak, veri sızdırma için Komuta ve Kontrol (C&C) sunucusuyla bağlantı kuran MetaStealer kötü amaçlı yazılımını barındıran bir CAB dosyası bırakılır.
Bilgi hırsızı kötü amaçlı yazılım olarak sınıflandırılan MetaStealer’ın, ele geçirilen sistemlerden hassas bilgileri çıkarabilen güçlü bir tehdit olduğu ortaya çıktı. Daha önce kötü amaçlı reklam kampanyaları aracılığıyla dağıtılan bu yükseltilmiş sürüm, sürekli bir gelişme göstererek gelecekteki potansiyel tehditlere işaret ediyor.
Teknik Bilgiler ve Komuta ve Kontrol İletişimi
Saldırının teknik karmaşıklıkları arasında PowerShell komutları, DLL yan yüklemesi ve MetaStealer kurulumuna yol açan bir dizi dosya düşüşü yer alıyor. Kötü amaçlı yazılım, Windows Defender ayarlarını değiştirmek ve tespit edilmekten kaçınmak için Defender Bypass da dahil olmak üzere çeşitli kaçırma teknikleri kullanıyor.
Başarılı bir sızmanın ardından MetaStealer, “ykqmwgsuummieaug” adresindeki C&C sunucusuyla bağlantı kurar.[.]443 numaralı bağlantı noktasındaki xyz”. İletişim, ‘cpp-httplib’ kitaplığını kullanarak verilerin HTTP üzerinden şifrelenmesini içerir. Kötü amaçlı yazılım, GET ve POST istekleri aracılığıyla C&C sunucusuyla iletişim kurar, yürütülecek görevleri alır ve tamamlanan görevler hakkında durum güncellemeleri sağlar.
Siber saldırı, kurbanlara yanıltıcı bir yem (I-589, İltica Başvurusu ve Sınır Dışının Engellenmesi) PDF belgesi sunarak sosyal mühendislik taktiklerini stratejik olarak kullanıyor. Bu içerik seçimi, sığınmayla ilgili konuların aciliyeti ve hassasiyetinden yararlanarak bireylerin kötü amaçlı dosyayı şüphelenmeden açma olasılığını artırıyor.
MetaStealer Özellikleri ve Yetenekleri
MetaStealer, yürütüldükten sonra Defender Bypass tekniğini kullanarak tespitten kaçınmak için Windows Defender ayarlarını değiştirir. Kötü amaçlı yazılım, Windows sürümü ve sistem özellikleri gibi ayrıntıları almak için “winver.exe” ve “systeminfo.exe” gibi araçları kullanarak güvenliği ihlal edilen sistem hakkında bilgi toplar.
MetaStealer ilk bilgi toplama işlemini tamamladıktan sonra odağını yüklü tarayıcı uygulamalarına kaydırır. Kötü amaçlı yazılım, otomatik doldurma verileri, çerezler, oturum açma verileri ve diğer ilgili ayrıntılar dahil olmak üzere hassas bilgileri çalarak kurbanın çevrimiçi güvenliğindeki olası güvenlik açıklarından yararlanıyor.
MetaStealer ile C&C sunucusu arasındaki etkileşim, saldırının kritik bir yönüdür. Kötü amaçlı yazılım, iletişim sırasında verileri şifreleyerek sunucuyla güvenli bir alışveriş yapılmasını sağlar. HTTP ve ‘cpp-httplib’ kütüphanesinin kullanımı, gizli iletişime izin vererek tespit olasılığını en aza indirir.
C&C sunucusu, ele geçirilen sisteme, sistem bilgilerinin toplanmasından komutların yürütülmesine kadar çeşitli görevler atar. Analiz sırasında potansiyel aksaklıklara işaret eden bir HTTP 400 hata koduyla karşılaşılmasına rağmen saldırganlar, virüslü sistem üzerinde kontrolü sürdürme girişimlerinde ısrar ediyor.
Çözüm
MetaStealer kötü amaçlı yazılımını kullanan ABD’li sığınmacıları hedef alan siber saldırı, yeni ve kalıcı kötü amaçlı yazılımı öne çıkarıyor Tehdit aktörlerinin kullandığı taktikler. Saldırganlar, yanıltıcı taktiklerden yararlanarak ve sığınmayla ilgili içeriğin aciliyetini ve hassasiyetini istismar ederek, Amerika Birleşik Devletleri’ne göç etmekle ilgilenen bireylerin güvenliğini tehlikeye atmayı amaçlıyor. Bu rapor, bu tür karmaşık tehditleri engellemek için artırılmış siber güvenlik önlemlerinin önemini vurguluyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.