Siber güvenlik araştırmacıları, meşru kod imzalama sertifikalarıyla imzalanmış Hijack Loader yapıtlarını sunan yeni bir kötü amaçlı yazılım kampanyasını açığa çıkardı.
Etkinliği ay başında tespit eden Fransız siber güvenlik şirketi HarfangLab, saldırı zincirlerinin Lumma olarak bilinen bir bilgi çalan yazılımı dağıtmayı amaçladığını söyledi.
DOILoader, IDAT Loader ve SHADOWLADDER olarak da bilinen Hijack Loader, ilk olarak Eylül 2023’te ortaya çıktı. Kötü amaçlı yazılım yükleyiciyi içeren saldırı zincirleri, genellikle kullanıcıları korsan yazılım veya film kisvesi altında bubi tuzaklı bir ikili dosyayı indirmeleri için kandırmayı içerir.
Bu kampanyaların son varyasyonlarının, kullanıcıları, kötü amaçlı yükü ZIP arşivi biçiminde bırakan kodlanmış bir PowerShell komutunu kopyalayıp çalıştırarak site ziyaretçilerini insan olduklarını kanıtlamaya teşvik eden sahte CAPTCHA sayfalarına yönlendirdiği bulunmuştur.
HarfangLab, Eylül 2024 ortasından itibaren PowerShell betiğinin üç farklı versiyonunu gözlemlediğini söyledi:
- Uzak bir sunucuda barındırılan kodu yürütmek için mshta.exe’den yararlanan bir PowerShell betiği
- Doğrudan Invoke-Expression cmdlet’i (aka iex) aracılığıyla yürütülen, uzaktan barındırılan bir PowerShell betiği
- Uzak bir URL’den veri indirmek ve yürütmek için msiexec.exe’yi kullanan bir PowerShell betiği
ZIP arşivi, kendi açısından, DLL yan yüklemesine duyarlı gerçek bir yürütülebilir dosya ve bunun yerine yüklenecek kötü amaçlı DLL’yi (ör. Hijack Loader) içerir.
HarfangLab, “Yan yüklenen HijackLoader DLL’nin amacı, pakette sağlanan şifrelenmiş bir dosyanın şifresini çözmek ve yürütmektir.” dedi. “Bu dosya, bir hırsız implantının indirilip çalıştırılmasını amaçlayan son HijackLoader aşamasını gizliyor.”
Dağıtım mekanizmasının, güvenlik yazılımı tarafından tespit edilmekten kaçınmak amacıyla Ekim 2024’ün başlarında DLL tarafından yüklemeden birkaç imzalı ikili dosya kullanmaya geçtiği söyleniyor.
Şu anda tüm kod imzalama sertifikalarının çalındığı veya tehdit aktörlerinin kendileri tarafından kasıtlı olarak oluşturulup oluşturulmadığı belli değil; ancak siber güvenlik firması bunun ikincisi olabileceğini düşük ila orta düzeyde bir güvenle değerlendirdi. Sertifikalar o zamandan beri iptal edildi.
“Sertifika veren birçok yetkili için, kod imzalama sertifikasının alınması ve etkinleştirilmesinin çoğunlukla otomatik olduğunu ve yalnızca geçerli bir şirket kayıt numarasının yanı sıra bir irtibat kişisinin gerekli olduğunu fark ettik” dedi. “Bu araştırma, kötü amaçlı yazılımların imzalanabileceğinin altını çiziyor ve kod imzasının tek başına güvenilirliğin temel göstergesi olarak hizmet edemeyeceğini vurguluyor.”
Bu gelişme, SonicWall Capture Labs’ın, Windows makinelerine CoreWarrior adlı kötü amaçlı yazılım bulaştıran siber saldırılardaki artış konusunda uyarıda bulunmasının ardından geldi.
“Bu, kendisinin düzinelerce kopyasını oluşturarak ve birden fazla IP adresine ulaşarak, arka kapı erişimi için birden fazla yuva açarak ve izleme için Windows kullanıcı arayüzü öğelerini bağlayarak hızla yayılmaya çalışan kalıcı bir truva atıdır” dedi.
Kimlik avı kampanyalarının, XWorm olarak bilinen bir Windows Komut Dosyası Dosyası (WSF) aracılığıyla, daha sonra macun üzerinde barındırılan bir PowerShell komut dosyasını indirip çalıştıran bir emtia hırsızı ve yükleyici kötü amaçlı yazılım yaydığı da gözlemlenmiştir.[.]Evet.
PowerShell betiği daha sonra, XWorm’u meşru bir işleme (“RegSvcs.exe”) enjekte etmekten sorumlu olan kötü amaçlı bir DLL yüklemek için bir dizi toplu iş ve PowerShell betiğini yürütmek üzere bir kanal görevi gören bir Visual Basic Betiği başlatır.
XWorm’un en son sürümü (sürüm 5.6), yanıt süresini bildirme, ekran görüntüleri toplama, kurbanın ana bilgisayar dosyasını okuma ve değiştirme, bir hedefe karşı hizmet reddi (DoS) saldırısı gerçekleştirme ve depolanan eklentileri kaldırma gibi özellikleri içerir. Adli iz bırakmaktan kaçınmaya çalışın.
Netskope Threat Labs güvenlik araştırmacısı Jan Michael Alcantara, “XWorm, saldırgana çok çeşitli işlevler sağlayabilen çok yönlü bir araçtır” dedi.