Latin Amerikalı kullanıcıları hedefleyen gelişmiş bir kötü amaçlı yazılım kampanyası, bölgenin bankacılık sektörü için önemli bir tehdit olarak ortaya çıktı ve siber suçlular, finansal kimlik bilgilerini çalmak için tasarlanmış ayrıntılı kimlik avı şemaları aracılığıyla DCRAT bankacılığı Truva atını konuşlandırdı.
Tehdit aktörleri, yüklerini teslim etmek için güvenilir kurumsal iletişimden yararlanırken, 2024 yılı boyunca ve 2025’e kadar yoğunlaşan kötü niyetli operasyonlar Kolombiya ve komşu ülkelerdeki siber güvenlik profesyonelleri için artan bir endişeyi temsil ediyor.
En az 2018’den beri dolaşan bir hizmet olarak kötü amaçlı yazılım teklifi olan DCRAT, yeraltı siber suç forumlarında iki aylık bir abonelik için yaklaşık yedi dolar için reklamı yapıldı.
.png
)
Kötü amaçlı yazılımların erişilebilirliği ve kapsamlı özellik seti, kurban sistemlerine kalıcı erişim sağlamak ve bölgedeki şüpheli olmayan kullanıcılardan hassas bankacılık bilgilerini hasat etmek isteyen finansal olarak motive edilmiş tehdit aktörleri için cazip bir seçenek haline getirmiştir.
IBM analistleri son zamanlarda Güney Amerika’dan geldiğine inanılan HIVE0131’in tehdit grubunun bu kampanyaları, son derece ikna edici e -posta taklit teknikleri aracılığıyla Kolombiyalı kullanıcılara odaklanarak düzenlediğini belirledi.
Grup, sosyal mühendislik yaklaşımlarında dikkate değer bir karmaşıklık gösterdi, meşru Kolombiya yargı kurumlarından kaynaklandığı görülen mesajlar hazırladı, özellikle Kolombiya Yargı ve Bogota Sivil Devresi’nden, potansiyel kurbanlar için zorlayıcı yemler yaratmak için yazışmaları taklit etti.
Mevcut kampanya, saldırganlar geleneksel güvenlik önlemlerini atlayan birden fazla enfeksiyon vektörünü dahil etmek için teslimat mekanizmalarını rafine ettikleri için tehdit ortamında dikkate değer bir evrimi temsil ediyor.
2024’te NSIS yükleyicilerini içeren şifre korumalı RAR arşivlerine büyük ölçüde dayanan önceki kampanyaların aksine, mevcut işlemler, güvenlik yazılımı ve analiz ortamları tarafından tespitten kaçınmak için tasarlanmış gizlenmiş JavaScript dosyalarını ve özel yükleyicileri içeren daha karmaşık bir yaklaşım kullanıyor.
Gelişmiş enfeksiyon mekanizmaları ve tespit kaçırma
Bu saldırıların teknik gelişimi, DCRAT yükü için birincil dağıtım mekanizması görevi gören VMDetectLoader olarak adlandırılan özel bir kötü amaçlı yazılım yükleyicisi etrafında odaklanmaktadır.
.webp)
IBM araştırmacıları, karma ile tanımlanan bu yükleyicinin 0df13fd42fb4a4374981474ea87895a3830eddcc7f3bd494e76acd604c4004f7özellikle sanal makine algılama ve kaçırma için tasarlanmış açık kaynaklı bir projeye dayanmaktadır.
Yükleyici, yük dağıtımına devam etmeden önce bir sanal alan veya analiz ortamında çalışıp çalışmadığını belirlemek için birden fazla sofistike teknik kullanır.
.webp)
VMDetectLoader, çevre parmak izi ile başlayan ve dikkatli yük elde etme ve enjeksiyon yoluyla ilerleyen çok aşamalı yürütme süreci ile dikkate değer teknik karmaşıklık gösterir.
Enfeksiyon zincirine devam edip etmeyeceğini belirlemeden önce anakart detayları, VMware, QEMU, VirtualBox ve Microsoft Hyper-V gibi sanallaştırma teknolojilerinin göstergelerini içeren kötü amaçlı yazılımlar sistem bilgileri.
Yükleyici güvenli bir ortamda çalıştığını belirlediğinde, askıya alınmış bir msbuild.exe işlemi oluşturarak ve bellek içeriğini DCRAT içeriğini değiştirerek bir işlemi oyma enjeksiyon tekniğini başlatır ve bir dizi Windows API çağrıları kullanarak DCRAT yükü ile değiştirilir. CreateProcess()– ZwUnmapViewOfSection()– VirtualAllocEx()Ve WriteProcessMemory().
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği