Python yükleri ve TryCloudflare tünellerini kullanarak Asyncrat adlı bir uzaktan erişim Truva atı (sıçan) teslim ettiği bir kötü amaçlı yazılım kampanyası gözlendi.
Forcepoint X-Labs araştırmacısı Jyotika Singh bir analizde, “Asyncrat, verimli, asenkron iletişim için async/bekleyen desenden yararlanan uzaktan erişim Trojan’dır (sıçan).” Dedi.
“Saldırganların enfekte olmuş sistemleri gizli bir şekilde kontrol etmesine, verileri dışarı atmasına ve gizli kalırken komutları yürütmesine izin veriyor – bu da önemli bir siber tel.”
Çok aşamalı saldırı zincirinin başlangıç noktası, tıkladıktan sonra bir fermuar arşivi indiren bir Dropbox URL’si içeren bir kimlik avı e-postasıdır.
Dosya içinde, enfeksiyonu daha da ileri götürmekten sorumlu bir Windows kısayolu (LNK) dosyası için bir kanal görevi gören bir İnternet kısayolu (URL) dosyası bulunurken, mesaj alıcısına görünüşte iyi huylu bir tuzak PDF belgesi görüntülenir.
Özellikle, LNK dosyası URL dosyasına gömülü bir TryCloudFlare URL aracılığıyla alınır. TryCloudFlare, CloudFlare tarafından özel bir kanal oluşturarak herhangi bir bağlantı noktası açmadan Web sunucularını internete maruz bıraktığı meşru bir hizmettir (yani, TryCloudflare’de bir alt alann[.]com) sunucuya trafiği vekiller.
LNK dosyası, PowerShell’i aynı yerde barındırılan bir JavaScript kodu yürütmesini tetikler, bu da başka bir Zip Arşivi indirebilen bir toplu komut dosyasına (BAT) yol açar. Yeni indirilen ZIP dosyası, Asyncrat, Venom Rat ve Xworm gibi birkaç kötü amaçlı yazılım ailesini başlatmak ve yürütmek için tasarlanmış bir Python yükü içerir.
Geçen yıl Asyncrat, Guloader, Purelogs Stealer, Remcos Rat, Venom Rat ve Xworm’u yayarak aynı enfeksiyon dizisinin hafif bir varyasyonunun keşfedildiğini belirtmek gerekir.
Singh, “Bu Asyncrat kampanyası, bilgisayar korsanlarının Dropbox URL’leri ve TryCloudFlare gibi meşru altyapıları kendi yararlarına nasıl kullanabileceğini tekrar gösterdi.” “Yükler Dropbox URL’leri ve geçici TryCloudflare tüneli altyapısı aracılığıyla indirilir, böylece alıcıları meşruiyetlerine inanmaya kandırır.”
Geliştirme, kullanıcıları Microsoft, Google, Apple ve Github gibi güvenilir platformların oturum açma sayfalarını taklit eden sahte açılış sayfalarına yönlendirerek hesap devralma saldırıları yapmak için Hizmet Olarak Kimlik Yardımı (PHAAS) araç setlerini kullanarak kimlik avı kampanyalarında bir artışla geliyor.
E -postalar yoluyla yürütülen sosyal mühendislik saldırıları, tehdit aktörlerinin birbirine bağlı tedarik zincirinden ve e -posta kimlik doğrulama mekanizmalarını atlamak için doğal güvenden yararlandıklarının bir göstergesi olan kullanıcıların Microsoft 365 giriş kimlik bilgilerini hasat etmek için tehlikeye atılmış satıcı hesaplarından yararlanıyor.
Son haftalarda yakın zamanda belgelenen diğer kimlik avı kampanyalarından bazıları aşağıda –
- Sapphirerat’ı dağıtmak ve yürütmek için resmi yasal belgeleri ve makbuzları kullanan Latin Amerika’daki kuruluşları hedefleyen saldırılar
- Microsoft 365 kimlik bilgisi hasat sayfalarına ev sahipliği yapmak için hükümet web sitelerine (“.gov”) ait olanlar da dahil olmak üzere meşru alanlardan yararlanan saldırılar
- Vergi ajanslarını ve ilgili finansal kuruluşları, Avustralya, İsviçre, İngiltere ve ABD’deki kullanıcıları hedeflemek için kullanıcı kimlik bilgilerini yakalamak, hileli ödemeler yapmak ve Asyncrat, Metastealer, Venom Rat, Xworm gibi kötü amaçlı yazılımları dağıtmak için saldırılar
- Sahte Microsoft Active Directory Federasyon Hizmetleri (ADFS) Oturum Açma Sayfalarından yararlanan saldırılar, Finansal Motive edilen e-posta saldırıları için kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını toplamak için
- Çeşitli çevrimiçi hizmetleri taklit eden jenerik kimlik bilgisi hasat sayfalarına ev sahipliği yapmak için cloudflare çalışanlarını (işçiler.dev) kullanan saldırılar
- İş sözleşmeleri kisvesi altında Alman örgütlerini şerit implantı ile hedefleyen saldırılar
- Kimlik avı e-postalarında bazı URL güvenlik kontrollerini atlamak için sıfır genişlikte marangoz ve yumuşak tire (diğer adıyla utangaç) karakterleri kullanan saldırılar
- APATEWEB adlı bir kampanyanın bir parçası olarak korkutma yazılımı, potansiyel olarak istenmeyen programlar (yavrular) ve diğer aldatmaca sayfaları sunan bubi sıkışmış URL’leri dağıtan saldırılar
CloudSek tarafından yapılan son araştırmalar, kimlik avı saldırılarını ve yatırım dolandırıcılıklarını kolaylaştırmak için Zendesk’in altyapısını kullanmanın mümkün olduğunu gösterdi.
Şirket, “Zendesk, bir kullanıcının SaaS platformlarının ücretsiz bir denemesine kaydolmasına izin vererek, bir hedef taklit etmek için kötüye kullanılabilecek bir alt alan adının kaydedilmesine izin veriyor,” dedi. Hedeflerin e -posta adresleri Zendesk portalına “kullanıcı” olarak adlandırılır.
“Zendesk, kullanıcıları davet etmek için e -posta kontrolleri yapmaz. Bu, herhangi bir rastgele hesap üye olarak eklenebilir. E -posta adresine atanan bilet kisvesiyle kimlik avı sayfaları gönderilebilir.”