AutoIT Kötü Amaçlı Yazılımı Gmail Kullanıcılarına Saldırarak Oturum Açma Kimlik Bilgilerini Çalıyor


AutoIT Kötü Amaçlı Yazılımı Gmail Kullanıcılarına Saldırarak Oturum Açma Kimlik Bilgilerini Çalıyor

Popüler tarayıcıları kullanarak Gmail oturum açma sayfalarını açmaya çalışan ve panodaki verileri çalma, tuş vuruşlarını yakalama ve sistem davranışlarını değiştirme yeteneklerine sahip kötü amaçlı bir AutoIT derlenmiş yürütülebilir dosya keşfedildi.

Ayrıca kullanıcı girdisini engelleyerek ve klavye ve fare olaylarını kontrol altına alarak tespitten kaçınabilir. Kullanıcıların güvenilmeyen kaynaklardan veya belirsiz adlara sahip dosyaları çalıştırırken dikkatli olmaları önerilir.

DÖRT

Detect-It-Easy (DIE) kullanılarak yapılan analiz, kötü amaçlı yazılımın bir AutoIT yürütülebilir dosyası olduğunu ve orijinal dosya adının, net bir veri içermeyen birden fazla karıştırılmış kitaplığı içe aktaran “File.exe” olduğunu ortaya koyuyor; bu da olası karıştırma tekniklerine işaret ediyor.

DIE Örnek tespiti

Dört ayrı ağ kütüphanesinin varlığı, kötü amaçlı yazılımın ağ tabanlı faaliyetlerde bulunabileceğini düşündürmektedir.

Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot

Genel olarak yapılan analizler, kötü amaçlı yazılımın büyük ihtimalle kötü amaçlı eylemler gerçekleştirmek ve potansiyel olarak ağ sistemlerini tehlikeye atmak üzere tasarlandığını gösteriyor.

AutoITExtractor aracı, derlenmiş bir AutoIT yürütülebilir dosyasından orijinal betiğin alınmasına olanak tanır ve bu da programın işlevselliğini düz metin olarak ortaya çıkarırken, çıkarılan betik programın kötü niyetli niyetini açığa çıkarır.

Çıkarılan betik içerikleri

Popüler web tarayıcılarını bulup başlatmak için net talimatlar içeriyor ve kullanıcıları Google oturum açma sayfasına (accounts.google.com) yönlendiriyor. Bu da programın Google’daki ve potansiyel olarak diğer platformlardaki kullanıcı hesaplarını hedef aldığını gösteriyor.

İkili analiz açıkça kötü amaçlı adresler ortaya koymuyor, komut dosyası Google hesaplarına erişmeye çalışıyor ve çeşitli sosyal medya platformları için genel giriş bağlantıları içeriyor.

Tarayıcılar beklendiği gibi çalışırken, ayrı bir fonksiyon belirli koşullar altında bir dinleme soketi oluşturur.

Soket seçeneği kurulumu

Bu tespitin işaret ettiği potansiyel kötü amaçlı aktiviteye bir örnek, kullanıcı verilerini veya ağ bağlantılarını tehlikeye atabilen bir arka kapı veya uzaktan erişim trojanıdır.

Kötü amaçlı yazılım, başarısız bir soket kurulumuyla karşılaştığında, dinamik analiz sırasında gözlemlenen belirli hata kodunu almak için WSAGetLastError Windows API’sini kullanır.

Soket bağlama işlemi (başarısız)

Enfekte olmuş tarayıcılar çalıştırıldığında, muhtemelen ağ iletişimi veya kötü amaçlı yazılımın ağ üzerinden bağlantı kurmaya veya eylem gerçekleştirmeye çalıştığını düşündüren belirli işlevlerle ilgili parametreleri içeren bir komut satırı yapısı kullanarak birden fazla işlem başlatıyor.

Kötü amaçlı yazılımın ilk işlemi Firefox içinde gizli, izole bir sayfa oluşturmak ve ardından bir ağ bağlantısı kurmaya çalışmaktır.

Başarılı olursa, tuş kaydı, ekran yakalama ve daha fazla dosya sayımı uygulamaya devam eder. Ancak, test sırasında bu davranış gözlemlenmedi, bu da bir komuta ve kontrol sunucusunun bağlantı kurmadığını gösteriyor.

SonicWall, müşterilerini belirli bir kötü amaçlı yazılım tehdidinden korumak için MalAgent.AutoITBot adlı yeni bir imza yayınladı.

Kötü amaçlı yazılım, 6a4d5fa1f240b1ea51164de317aa376bbc1bbddeb57df23238413c5c21ca9db0 dosya karması ile tanımlanıyor ve bu sayede kötü amaçlı yazılım tespit edilip engellenerek müşterilere zarar vermesi önleniyor.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial



Source link