Siber güvenlik araştırmacıları, “adlı oldukça kaçamak bir yükleyicinin iç işleyişini detaylandırdılar.in2al5d p3in4erAurora bilgi hırsızı kötü amaçlı yazılımını dağıtmak için kullanılan ” (okuma: geçersiz yazıcı).
Siber güvenlik firması Morphisec, The Hacker News ile paylaştığı bir raporda, “in2al5d p3in4er yükleyici, Embarcadero RAD Studio ile derlendi ve gelişmiş anti-VM (sanal makine) tekniği kullanarak uç nokta iş istasyonlarını hedefliyor” dedi.
Aurora, 2022’nin sonlarında tehdit ortamında ortaya çıkan, Go tabanlı bir bilgi hırsızıdır. Diğer aktörlere ticari bir kötü amaçlı yazılım olarak sunulan bu yazılım, YouTube videoları ve SEO destekli sahte crackli yazılım indirme web siteleri aracılığıyla dağıtılır.
YouTube video açıklamalarında bulunan bağlantılara tıklamak, kurbanı görünüşte meşru bir yardımcı program kisvesi altında kötü amaçlı yazılımı indirmeye ikna edildikleri sahte web sitelerine yönlendirir.
Morphisec tarafından analiz edilen yükleyici, bir sistemde kurulu grafik kartının satıcı kimliğini sorgulamak ve bunu bir dizi izin verilenler listesine alınmış satıcı kimliğiyle (AMD, Intel veya NVIDIA) karşılaştırmak için tasarlanmıştır. Değer eşleşmezse yükleyici kendini sonlandırır.
Yükleyici en sonunda nihai yükün şifresini çözer ve onu, işlem boşaltma adı verilen bir teknik kullanarak “sihost.exe” adlı meşru bir işleme enjekte eder. Alternatif olarak, bazı yükleyici örnekleri de şifresi çözülmüş yükü yazmak ve oradan çağırmak için bellek ayırır.
Güvenlik araştırmacıları Arnold Osipov ve Michael Dereviashkin, “Enjeksiyon işlemi sırasında, tüm yükleyici örnekleri gerekli Win API’lerini dinamik olarak çözer ve bir XOR anahtarı kullanarak bu adların şifresini çözer: ‘in2al5d p3in4er’.”
Yükleyicinin bir başka önemli yönü de, birden fazla platform için yürütülebilir dosyalar oluşturmak üzere Embarcadero RAD Studio’yu kullanması ve böylece tespitten kaçmasını sağlamasıdır.
İsrailli siber güvenlik şirketi, “VirüsTotal’da en düşük algılama oranına sahip olanlar, Embarcadero’nun Clang tabanlı yeni bir C++ derleyicisi olan ‘BCC64.exe’ kullanılarak derleniyor.”
“Bu derleyici, ‘Standart Kitaplık’ (Dinkumware) ve ‘Çalışma Zamanı Kitaplığı’ (derleyici-rt) gibi farklı bir kod tabanı kullanır ve giriş noktasını ve yürütme akışını değiştiren optimize edilmiş kod üretir. Bu, imzalar gibi güvenlik tedarikçilerinin göstergelerini bozar ‘kötü amaçlı/şüpheli kod bloğu’ndan oluşur.'”
Karanlık Web İstihbarat Toplama Sanatında Ustalaşın
Karanlık ağdan tehdit istihbaratı elde etme sanatını öğrenin – Uzmanlar tarafından yönetilen bu web seminerine katılın!
Koltuğumu Kurtar!
Özetle, bulgular, in2al5d p3in4er’ın arkasındaki tehdit aktörlerinin, kötü amaçlı yazılım dağıtım kanalı olarak YouTube’u kullanan ve izleyicileri kötü amaçlı hırsızlığı dağıtmak için ikna edici görünen sahte web sitelerine yönlendiren yüksek etkili bir kampanya için sosyal mühendislik yöntemlerinden yararlandığını gösteriyor.
Bu gelişme, Intel 471’in, suç aktörlerinin popüler yazılım kılığına girmiş bilgi hırsızlarını bir klasör aracı kullanarak zorlamaları için ayda 300 ABD Doları karşılığında pazarlanan başka bir kötü amaçlı yazılım yükleyicisi AresLoader’ı ortaya çıkarmasıyla ortaya çıktı. Yükleyicinin Rus bilgisayar korsanlığıyla bağlantılı bir grup tarafından geliştirildiğinden şüpheleniliyor.
Ocak 2023’ten beri AresLoader kullanılarak yayılan önde gelen kötü amaçlı yazılım ailelerinden bazıları Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc ve SystemBC’dir.