Tehdit aktörleri, kötü amaçlı yazılımları yaymak için sıklıkla kötü amaçlı Google Ads ve SEO zehirlenmesi kullanır.
Yakın zamanda, Secureworks’ün Karşı Tehdit Birimi (CTU) araştırmacıları, Siber saldırganların işletmeleri hedef alan ve aşağıdakiler gibi popüler uygulamalar kılığına giren Bumblebee kötü amaçlı yazılımını dağıtmak için Google Reklamlarını ve SEO zehirlenmesini aktif olarak kullandığını bildirdi:-
- yakınlaştır
- Cisco AnyConnect
- ChatGPT
- Citrix Çalışma Alanı
Nisan 2022’de, bir kötü amaçlı yazılım yükleyici olan Bumblebee’nin, Conti grubunun önceki arka kapısı olan BazarLoader’ın potansiyel halefi olduğu ortaya çıktı.
yaban arısı Kötü amaçlı yazılım
Modüler bir yükleyici olan Bumblebee, genellikle kimlik avı yoluyla teslim edildi ve fidye yazılımı işlemleriyle bağlantılı yükleri dağıtmak için kullanıldı.
Popüler veya uzak işle ilgili yazılım yükleyicileri trojanlamak, yeni virüs bulaşma olasılığını artırır. Bunun dışında CTU araştırmacıları, aşağıdakilerden elde edilen bir Yaban Arısı örneğini inceledi: –
- http[:]//appcisco[.]com/vpncleint/cisco-anyconnect-4_9_0195.msi
Bir tehdit aktörü, appcisco’da Cisco AnyConnect Güvenli Mobilite İstemcisi v4.x için sahte bir indirme sayfası oluşturdu[.]16 Şubat 2023 civarında.
Kullanıcıyı kötü amaçlı bir Google Reklamından sahte indirme sayfasına yönlendirmek için güvenliği ihlal edilmiş bir WordPress sitesi kullanıldı ve bir bulaşma zinciri başlatıldı.
Teknik Analiz
BumbleBee kötü amaçlı yazılımı, sahte açılış sayfasında tanıtılan aşağıdaki trojenleştirilmiş MSI yükleyici aracılığıyla yüklenir: –
- cisco-anyconnect-4_9_0195.msi
Yürütüldüğünde, kullanıcının bilgisayarı gizlenmiş bir PowerShell betiği (cisco2.ps1) ve geçerli bir program yükleyici alır.
AnyConnect’in orijinal yükleyicisi CiscoSetup.exe, uygulamayı göze çarpmayacak şekilde cihaza yüklerken, PowerScrip betiği BumbleBee kötü amaçlı yazılımını dağıtır ve ardından sızan cihazda kötü amaçlı etkinlikler yürütür.
PowerShell betiğinde kodlanmış bir Bumblebee kötü amaçlı yazılım yükü, PowerSploit ReflectivePEInjection.ps1 betiğinden yeniden adlandırılan işlevlerle birlikte, yansıtıcı olarak belleğe yüklenir.
Bumblebee, belleğe kötü amaçlı yazılım enjekte etmek için aynı kullanım sonrası çerçeve modülünü kullanarak herhangi bir güvenlik alarmı vermeden mevcut antivirüs ürünlerinden kurtulmasını sağlar.
Secureworks’teki siber güvenlik araştırmacıları tarafından benzer dosya çiftlerine sahip başka yazılım paketleri de tanımlanmış olsa da, örneğin: –
- ZoomInstaller.exe ve zoom.ps1
- ChatGPT.msi ve chch.ps1
- CitrixWorkspaceApp.exe ve citrix.ps1
Azaltma
Aşağıda, önerilen tüm azaltmalardan bahsettik:-
- Yalnızca bilinen, resmi ve güvenilir web sitelerinden yazılım yükleyicileri ve güncellemeleri indirin.
- Bilgisayar kullanıcılarının yazılım yüklemesine ve komut dosyası çalıştırmasına izin verilmediğinden emin olun.
- Kötü amaçlı yazılımların yürütülmesini önlemek için AppLocker gibi güvenlik araçları kullanılmalı ve etkinleştirilmelidir.
- Tanınmış bir antivirüs çözümü kullandığınızdan emin olun.
- Verilerinizin düzenli olarak yedeklendiğinden emin olun.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin