Siber suçlular, sahte adli bildirimler yoluyla Kolombiyalı kullanıcıları hedef alan, AsyncRAT enfeksiyonuyla sonuçlanan karmaşık, çok aşamalı bir kötü amaçlı yazılım dağıtım sistemi kullanan karmaşık bir kimlik avı kampanyası geliştirdi.
Kampanya, geleneksel güvenlik önlemlerini atlatmak ve şüphelenmeyen kurbanları başarılı bir şekilde tehlikeye atmak için meşru görünen hükümet iletişimlerinden yararlanarak sosyal mühendislik taktiklerinde endişe verici bir evrimi ortaya koyuyor.
Saldırı kampanyasında, “Juzgado 17 Sivil Municipal del Circuito de Bogotá”dan (Bogotá Bölgesi 17. Belediye Hukuk Mahkemesi) gelen resmi yazışmaları taklit eden, özenle hazırlanmış İspanyolca e-postalar kullanılıyor.
Bu aldatıcı mesajlar, alıcıları kendilerine karşı açılan sözde davalar hakkında bilgilendirerek, resmi yasal dil ve kurumsal adlandırma kuralları aracılığıyla aciliyet ve özgünlük yaratır.
Kötü amaçlı e-postalar, İngilizce’de “Attorney General’s Office Civil Court 17.svg” anlamına gelen “Fiscalia General De La Nacion Juzgado Civil 17.svg” adlı SVG (Ölçeklenebilir Vektör Grafikleri) dosya ekleri içeriyor.
SVG dosyası yürütüldükten sonra kurbanlara Başsavcılık ve Vatandaş Danışma Portalı gibi görünen karmaşık bir sahte web sayfası sunuyor.
Sahte arayüz, adli bilgi sistemleri ve sahte danışma kayıt numaraları gibi uydurma unsurları içeriyor ve meşruiyet yanılsamasını artırıyor.
Kullanıcılar resmi bir belge gibi görünen bir belgeyi indirmeye çalıştığında sistem, birden fazla dosya aşamasını ve kodlama tekniklerini içeren karmaşık bir enfeksiyon zinciri başlatır.
Seqrite analistleri, devam eden tehdit istihbaratı izleme faaliyetleri sırasında bu kötü amaçlı yazılım kampanyasını tespit ederek, SVG dosyalarını ilk saldırı vektörleri olarak kullanan karmaşık saldırı metodolojisini tespit etti.
Araştırmacılar, XML kod yapılarına kötü amaçlı komut dosyaları yerleştirme yetenekleri nedeniyle SVG dosyalarının siber suçlular arasında giderek daha popüler hale geldiğini ve genellikle bu dosya türlerini zararlı içerik açısından tam olarak tarayamayan geleneksel güvenlik çözümlerinin tespitinden kaçtığını belirtti.
Enfeksiyon Zinciri ve Teknik Uygulama
Kötü amaçlı yazılımın bulaşma mekanizması, çok aşamalı dağıtım süreci sayesinde ileri düzeyde teknik gelişmişlik göstermektedir.
.webp)
Kurban kötü amaçlı SVG dosyasına tıkladığında, gömülü JavaScript kodu dosyayı çalıştırır. OpenDocument() Saldırı sırasını başlatmak için birkaç kritik işlemi gerçekleştiren işlev.
function OpenDocument() {
// Accept base64 encoded embedded data
// Decode it to attacker controlled "HTML" blob
// Create a temporary URL object for that blob
// Open that URL in new tab
}SVG dosyası, kodu çözüldüğünde yeni bir tarayıcı sekmesinde görüntülenen bir HTML blobu oluşturan, base64 kodlu gömülü veriler içerir.
Bu ikincil sayfa, sahte bir ilerleme çubuğu arayüzü sunarak kurbanları yasal bir belge indirme işleminin gerçekleştiğine ikna ederken aynı zamanda “DOCUMENTO_OFICIAL_JUZGADO.HTA” adlı kötü amaçlı bir HTA dosyasının indirilmesini tetikler.
HTA dosyası, büyük miktarda base64 kodlu içerik blokları içeren, oldukça karmaşık kod içeren enfeksiyon zincirinde bir sonraki aşama olarak hizmet ediyor.
Yürütüldüğünde, “actualiza.vbs” adlı bir Visual Basic komut dosyası dosyasının kodunu çözer ve kurbanın sistemine bırakır.
Bu VBS dosyası, analizden kaçmak için tasarlanmış kapsamlı gereksiz kodu kaldırdıktan sonra, “GftsOTSaty” adlı karartılmış bir değişken içinde bulunan bir PowerShell betiğini çalıştırır.
PowerShell bileşeni (“veooZ.ps1”), “Ysemg.txt” adlı kodlanmış bir metin dosyasını indirmek için bir dpaste etki alanı URL’sine bağlanır.
Bu dosya, modül yükleyici olarak işlev gören bir .NET derlemesi olan “classlibrary3.dll”yi üretmek için base64 kod çözme işleminden önce belirli karakter kalıplarını değiştirerek birden fazla kod çözme sürecinden geçer.
Yükleyici, analiz ortamlarında algılanmayı önlemek için VirtualBox ve VMware ile ilgili süreçleri kontrol eden anti-sanal makine tekniklerini içerir.
Son yük olan AsyncRAT, gelişmiş bellek içi enjeksiyon teknikleri aracılığıyla meşru MSBuild.exe sürecine enjekte edilir.
Bu yaklaşım, kötü amaçlı yazılımın güvenilir bir Windows işlemi içinde çalışmasına ve virüslü sistemde kalıcılığını korurken tespitten etkili bir şekilde kaçınmasına olanak tanır.
AsyncRAT verisi, tuş vuruşlarını günlüğe kaydetme, sistem bilgileri toplama, web kamerası gözetimi ve Mesaj Paketi serileştirmesini kullanan şifreli TLS bağlantıları aracılığıyla komut ve kontrol iletişimleri dahil olmak üzere kapsamlı uzaktan erişim yetenekleri sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
