Araştırmacılar, “DuckTail” veya “SYS01” olarak bilinen MalSync kötü amaçlı yazılımının işleyişini keşfettiler.
Kötü amaçlı yazılımın analizi, bulaşma vektörlerini, komut satırı kullanımını, kötü amaçlı yazılım özelliklerini ve diğer bilgileri ortaya çıkardı.
Kötü amaçlı yazılımın, sosyal medya kimlik bilgilerini çalmaya yönelik hedefli bir yaklaşıma sahip olduğu ve veri çıkarma ve tespitten kaçınma yeteneklerine sahip olduğu görülüyor.
Ayrıca kötü amaçlı yazılım, yapılandırmasını güncellemek ve talimatları almak için bir komuta ve kontrol sunucusuyla iletişim kurar.
MalSync Kötü amaçlı yazılım
Binary Defense'in raporlarına göre index.php dosyası, cihaz bilgilerinin toplanmasını, zamanlanmış görevleri ve dışarı sızmadan önce veri hazırlama işlemlerini gerçekleştiriyor.
Analiz, Windows Defender'a istisnalar eklemek üzere tasarlanan şüpheli PowerShell komut satırı etkinliği nedeniyle ortaya çıkan bir uyarıyla başladı.
Diğer kötü amaçlı yazılımlara benzer şekilde bu komut, yükseltilmiş ayrıcalıklara sahip bir svchost.exe işlemi tarafından başlatıldı.
Daha ileri analizler ayrıca %AppData% dizininde birkaç yürütülebilir dosyayı da ortaya çıkardı. Tanımlanan dosyaların listesi aşağıdaki gibidir:
Bu dosyalar meşru yükleyiciler ve kötü amaçlı yazılımlar tarafından kullanılsa da, bu dosyaların bu belirli dizinde bulunması şüphe uyandırıyor.
Saldırı Zinciri
Ayrıca, kötü amaçlı yazılımdaki dosya oluşturma olayları, katmanlı bir saldırı stratejisine işaret eden bir yürütülebilir dosya zinciri gösterdi.
Saldırı zincirinin ilk kısmında “IMG_9597_One_Night_Stand_Li_Shaw – Gyeon_Jung_Hee_Studio – By_Gook_Changmin_Photographer.exe” adı altında başka bir “ts.exe” EXE dosyası oluşturan bir EXE dosyası kullanıldı.
Bunu takiben “cgcmpukluosgfec.exe” aynı adı altında iki EXE dosyası daha oluşturulur.
Bu dosyalardan biri geçici bir dosyadır. Bundan sonra, saldırı zinciri için gerekli tüm PHP kitaplıklarının yanı sıra rhc.exe, php.exe ve wdelua.exe gibi üç dosya daha oluşturulur.
Sıranın son kısmı, Zamanlanmış bir aramanın oluşturulmasıyla ilişkilidir.
Bu arama, C2 sunucusuyla iletişim kurmak, ek kötü amaçlı yazılım indirmek ve C2'nin yanıtına göre başka birkaç planlı arama oluşturmak için kullanılır.
Tehdit aktörü, kullanıcıları cezbetmek için DLL arama sırası ele geçirme saldırısı gerçekleştirebilecek bir “WDSyncService.exe” dosyası oluşturur.
Bu DLL ele geçirme saldırısı, WDSyncService.exe çalıştırıldığında yüklenen aynı dizindeki WDSync.dll dosyası kullanılarak gerçekleştirilir.
Ancak orijinal zararlı yazılım, harici bir kaynaktan indirilmiş gibi görünen “updx-v2.5.23-setup.exe” adlı dosyada bulundu.
MalSync'in IonCube PHP bileşenleri aracılığıyla yürütülen kötü amaçlı yazılımın daha ayrıntılı analizinde kimlik hırsızlığı, dolandırıcılık ve casusluk faaliyetleri gibi başka taktikler de vardı.
Üstelik index.php dosyaları, cihaz bilgisi toplamayı, görev yönetimini ve dışarı sızmadan önce veri hazırlamayı yöneten büyük miktarda PHP kodundan oluşur.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.