BBTok Meşru Windows Yardımcı Komut Aracını Kötüye Kullanıyor


Latin Amerika’daki siber suçlular, ticari işlemleri ve yargıyla ilgili konuları hedef alan kimlik avı dolandırıcılıklarını daha fazla kullanıyor.

Sırasıyla güven ve korkuyu istismar eden bu saldırılar, genellikle kullanıcıları sahte web sitelerine yönlendiren e-postalara gömülü bağlantılar ve trojan içeren kötü amaçlı PDF ve ZIP dosyaları gibi yaygın taktikleri içeren kötü amaçlı yazılım bulaşmalarına yol açan kötü amaçlı bağlantılar veya dosya eklerini içerir.

Bu saldırıların birincil hedefleri imalat şirketleri olmuştur, bunları perakende, teknoloji ve finansal hizmetler takip etmiştir. Mekotio, BBTok ve Grandoreiro bu dolandırıcılıklarda kullanılan önemli bankacılık trojanlarıdır.

– Reklamcılık –
DÖRTDÖRT
Gömülü bir bağlantı içeren bir Mekotio kimlik avı e-postasıGömülü bir bağlantı içeren bir Mekotio kimlik avı e-postası
Gömülü bir bağlantı içeren bir Mekotio kimlik avı e-postası

Latin Amerika’yı hedef alan iki kötü amaçlı yazılım ailesi olan Mekotio ve BBTok, coğrafi kapsamlarını genişleterek yeni kaçınma teknikleri kullanmaya başladı. Başlangıçta Brezilya’ya odaklanan Mekotio ise artık tespit edilmekten kaçınmak için gizlenmiş PowerShell betikleri kullanarak İspanyolca konuşulan birçok ülkeyi ve Güney Avrupa’nın bazı bölgelerini hedef alıyor.

Bir zamanlar Latin Amerika finans sektörüyle sınırlı olan BBTok, benzer bir coğrafi genişleme benimsedi ve artık kurbanları enfekte etmek için LNK dosyalarını ve ISO dosyalarına gömülü DLL yüklerini kullanıyor, kimlik bilgisi hırsızlığı ve veri sızdırma yeteneklerini artırıyor.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

Her iki kötü amaçlı yazılım ailesi de çok yönlülükleri ve kalıcılıkları nedeniyle bölge için önemli bir tehdit oluşturuyor.

Mekotio'nun gözlemlenen enfeksiyon zinciriMekotio'nun gözlemlenen enfeksiyon zinciri
Mekotio’nun gözlemlenen enfeksiyon zinciri

Mekotio varyantı, kurbanları kimlik avı e-postaları yoluyla hedef alıyor ve onları, ikincil bir URL’ye bağlanarak ek kötü amaçlı yazılım indirmek veya veri sızdırmak için bir PowerShell betiğini çalıştıran, gizlenmiş bir toplu iş dosyası içeren bir ZIP dosyasını indiren kötü amaçlı web sitelerine çekiyor.

Betik, eylemlerini kişiselleştirmek için sistemin coğrafi konumunu ve ortamını kontrol ediyor; buna AutoHotKey.exe, bir AutoHotKey betiği ve Mekotio DLL içeren son bir ZIP dosyası indirmek de dahil.

Bu bileşenler saldırının son aşamasını gerçekleştirmek için kullanılırken, otomatik çalıştırma kayıt defteri girişi kalıcılığı garanti eder.

Önceki varyantlardan farklı olarak, bu Mekotio varyantının daha geniş bir hedefleme kapsamına sahip olduğu ve daha geniş bir ülke yelpazesini etkileme potansiyeline sahip olduğu görülüyor.

BBTok'un gözlemlediği enfeksiyon zinciriBBTok'un gözlemlediği enfeksiyon zinciri
BBTok’un gözlemlediği enfeksiyon zinciri

BBTok kötü amaçlı yazılımı, kötü amaçlı bir bağlantı içeren kimlik avı e-postasıyla başlayan karmaşık bir enfeksiyon zinciri kullanıyor.

Bu bağlantıya tıklandığında, çalıştırıldığında MSBuild.exe’nin yürütülmesini tetikleyen bir LNK dosyası içeren kötü amaçlı bir ISO dosyası indirilir.

MSBuild.exe, ISO’dan kötü amaçlı bir XML dosyası yükler, bu da rundll32.exe’yi kullanarak kötü amaçlı bir DLL dosyası oluşturur ve çalıştırır, saldırganın C&C sunucusuna bağlanır, sistem kayıt defterini değiştirerek kalıcılık sağlar ve ISO içindeki bir ZIP dosyasından ek yükler çıkarır.

Trend Micro’ya göre, kötü amaçlı yazılım daha sonra bu yükleri çalıştırarak saldırıya devam ediyor ve tehlikeye atılan sistem üzerinde daha fazla kontrol elde ediyor.

Çıkarılan zip dosyasıÇıkarılan zip dosyası
Çıkarılan zip dosyası

Siber suçlular, bankacılık bilgilerini çalmak ve yetkisiz işlemler gerçekleştirmek için tasarlanmış karmaşık kimlik avı dolandırıcılıklarıyla Latin Amerikalı kullanıcıları giderek daha fazla hedef alıyor. Bu dolandırıcılıklar, tespit edilmekten kaçınma ve hassas bilgileri çalma konusunda giderek daha usta hale geliyor ve daha büyük karlar elde etmek için daha büyük grupları hedef alma konusunda giderek daha cesur davranan çeteler tarafından kullanılıyor.

Bu riskleri azaltmak için, işletmeler gelişmiş tehdit tespit sistemleri uygulamalı, güvenlik protokollerini düzenli olarak güncellemeli ve çalışanları kimlik avı tanıma ve müdahale konusunda eğitmelidir.

Finansal sistemlerin bu gelişen tehditlere karşı korunması için siber güvenliğe yönelik proaktif ve sıfır güven yaklaşımı şarttır.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!



Source link