Harici bir web sitesinden kötü amaçlı bir JSON yükü dağıtmak için HTML kaçakçılığını kullanan yeni bir kaçamak Azorult kampanyası.
JSON dosyası daha sonra, disk tabanlı algılamayı atlayan ve ayrıca antivirüs yazılımı tarafından işaretlenmeyi önlemek için bir AMSI bypass'ı kullanan dosyasız bir teknik olan yansıtıcı kod yükleme kullanılarak yüklenir.
Gelişmiş bir kampanya sağlık sektörünü hedef alıyor ve oturum açma kimlik bilgileri, kripto cüzdan verileri ve tarayıcı bilgileri dahil olmak üzere hassas bilgileri çalıyor.
HTML Kaçakçılığı Saldırıları İçin Google Sitelerinden Yararlanıldı
Netskope, saldırganların, Google Sites'taki sahte Google Dokümanlar sayfalarında HTML kaçakçılığı yaparak kurbanları meşru bir Google Dokümanı gibi görünen kötü amaçlı bir veriyi indirmeleri için kandıran bir saldırı başlattığını söyledi.
Yükün Javascript'te bulunduğu tipik HTML kaçakçılığından farklı olarak bu örnek, base64 kodlu yükü farklı bir alanda barındırılan ayrı bir JSON dosyasına yerleştirdi.
Web sitesini ziyaret ettikten sonra, kurbanın tarayıcısı bilmeden JSON'u indirir ve kötü amaçlı yükü çıkarır.
.webp)
Saldırganın web sitesi, CAPTCHA ile tarayıcıları atlar ve gizlenmiş bir LNK kısayolu indiren HTML'yi sunar.
.webp)
LNK, base64 kodlu bir veriyi indirmek için bir Powershell betiğini tetikler, kodunu çözer, betiği yürütmek için zamanlanmış bir görev oluşturur ve ardından onu siler.
.webp)
İndirilen Javascript kopyası, kendi kendine silinecek belirli bir dosyayı kontrol eder ve yürütülecek iki Powershell komut dosyasını daha getirir.
Saldırganlar, tespit edilmekten kaçınmak için yansıtıcı kod yüklemesinden yararlanır. Agent1.ps1 ve Agent3.ps1 olmak üzere iki Powershell betiği kullanırlar. Agent1.ps1 AMSI taramasını devre dışı bırakır.
.webp)
Agent3.ps1 bir Azorult yükleyici indirir ve bellekteki kabuk kodu bunlara bellek ayırır ve bunları aynı işlem içinde yürütmek için CreateThread'i kullanır.
.webp)
İndirilen yükleyici daha sonra kendi içinde depolanan Azorult ikili dosyasının şifresini çözen ve çalıştıran başka bir Powershell betiği olan sd2.ps1'i alır.
Bir.NET bilgi hırsızı olan Azorult, hassas kullanıcı verilerini hedefler ve bellek içi yürütmenin ardından kimlik bilgilerini, tarayıcı verilerini ve kripto cüzdan bilgilerini çalar, çalınan verileri HTTP aracılığıyla C2 sunucusuna gizlice sızmak üzere şifrelemek için Curve25519 şifrelemesinden yararlanır.
.webp)
İlk önce tam ekran bir ekran görüntüsü yakalıyor, ardından belirli dosyaları kopyalayarak Chrome ve Firefox'tan tarayıcı verilerini (oturum açma bilgileri, çerezler, tarama geçmişi) çalıyor ve ardından Chrome, Edge ve Firefox'taki popüler kripto cüzdan uzantılarını arayıp sızdırıyor Bulunursa verileri.
Hassas Belgeler
.webp)
.webp)
.webp)
Azorult, masaüstünü uzantılara ve anahtar kelimelere dayalı hassas dosyalar için tarar ve arama sırasında belirli dosya türlerini atlar. Hedef dosyayı bulduğunda içeriğini okur ve belleğe kaydeder.
Veriler, iletimden önce önceden paylaşılan bir sır kullanılarak sıkıştırılır ve şifrelenir ve şifrelenmiş verileri genel anahtarla birlikte HTTPS üzerinden saldırganın komuta ve kontrol sunucusuna göndermek için WebRequest sınıfından yararlanılır.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.