Araştırmacılar, Kuzey Kore’ye ait BeaverTail adı verilen yeni bir kötü amaçlı yazılım saldırısını ortaya çıkardı. Bu yazılım, öncelikli olarak iş arayanlara odaklanıyor.
Başlangıçta JavaScript tabanlı bir bilgi hırsızı olarak tanımlanan bu yazılım, daha sonra MiroTalk görüntülü görüşme hizmeti gibi meşru bir yazılımmış gibi davranan yerel bir macOS sürümüne dönüştü.
Bu kötü amaçlı yazılım, tarayıcı verileri ve kripto para cüzdanları da dahil olmak üzere kirli bilgisayarlardan gizli bilgileri çalmak için tasarlanmıştır.
Group-IB Threat Intelligence’daki siber güvenlik araştırmacıları yakın zamanda BeaverTail adlı kötü amaçlı yazılımın Windows kullanıcılarına silahlandırılmış oyunlar aracılığıyla saldırdığını keşfetti.
Teknik Analiz
Group-IB’nin siber güvenlik uzmanları, BeaverTail kötü amaçlı yazılım ailesinde iki yeni gelişmeyi keşfetti.
Öncelikle, BeaverTail’in yeni bir Windows sürümünü tespit ettiler ve kötü amaçlı yazılımın erişimini önceki platformlarının ötesine genişlettiler. İkinci olarak ve belki de daha endişe verici olanı, BeaverTail’in evrimleşmiş bir JavaScript varyantını ortaya çıkardılar.
Bu sürüm masum başlıklar arasında dolaşıyor. Popüler oyunlar için yaygın olarak kullanılan bir JavaScript kütüphanesi olan ReactJS üzerine inşa edilmiştir.
Bu kötü amaçlı uygulamalar NPM (Node Paket Yöneticisi) paketlerinin içinde gizlenir ve birden fazla geliştirme projesine kolayca dahil edilebilir.
Bu gelişmiş saldırı sayesinde Lazarus grubu, farklı işletim sistemlerine ve geliştirme ortamlarına saldırma girişimlerinde yeterince uyarlanabilir olduklarını gösterdi.
Windows için BeaverTail adlı kötü amaçlı yazılımın, kendisini gerçek bir konferans uygulaması olan FCCCall.exe gibi gizlediği görüldü.
Bu durum, grubun daha önce MiroTalk uygulamasını truva atına dönüştürdüğü Lazarus operasyonuna benziyor.
Ayrıca, en son kampanyanın büyük ihtimalle temmuz sonu ile ağustos başı arasında gerçekleştirilmiş olması, grubun ana cihazları hedef alırken iletişim yazılımlarından yararlanmaya ne kadar yatkın olduğunu gösteriyor.
Tüm BeaverTail sürümleri için iki temel hedef aynı kalır: kripto para cüzdanı bilgilerini almak ve bir sonraki adım yükü olan InvisibleFerret’i indirip yürütmek.
Ancak kötü amaçlı yazılımın geliştiricileri, hedef aldığı tarayıcı eklentilerinin sayısının artmasıyla kapsamını genişletti.
BeaverTail’in artık daha önce bahsedilen kaikas, rabby, argent X ve Exodus web3 gibi daha geniş bir yelpazedeki tarayıcı uzantılarını kapsaması, operatörlerinin daha büyük hacimli kurbanların kripto para varlıklarını ele geçirmeyi amaçladığını gösteriyor.
IoC’ler
- 185.235.241[.]208:1224
- 95.164.17[.]24:1224
- dc77044fe8d35882015eaa99ca31f826
- b9693b6541a22d01b100b867375279e6
- 8ebca0b7ef7dbfc14da3ee39f478e880
- ed60b3913e6694f4a0ed2fe25551bd1f
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces