Sahte yazılım güncelleme tuzakları, tehdit aktörleri tarafından, adı verilen yeni bir hırsız kötü amaçlı yazılım sunmak için kullanılıyor. CoinLurker.
Morphisec araştırmacısı Nadav Lorber Pazartesi günü yayınlanan bir teknik raporda, “Go’da yazılan CoinLurker, en son şaşırtma ve anti-analiz tekniklerini kullanıyor ve bu da onu modern siber saldırılarda son derece etkili bir araç haline getiriyor.” dedi.
Saldırılar, ele geçirilen WordPress sitelerindeki yazılım güncelleme bildirimleri, kötü amaçlı reklam yönlendirmeleri, sahte güncelleme sayfalarına bağlantı veren kimlik avı e-postaları, sahte CAPTCHA doğrulama istemleri, sahte veya virüslü sitelerden doğrudan indirmeler gibi çeşitli yanıltıcı giriş noktalarını kullanan sahte güncelleme uyarılarından yararlanır. sosyal medya ve mesajlaşma uygulamaları aracılığıyla paylaşılan bağlantılar.
Enfeksiyon zincirini tetiklemek için kullanılan yöntemden bağımsız olarak, yazılım güncelleme istemleri, yükün yürütülmesini tetiklemek için Microsoft Edge Webview2’yi kullanır.
Lorber, “Webview2’nin önceden yüklenmiş bileşenlere ve kullanıcı etkileşimine bağımlılığı, dinamik ve korumalı alan analizini karmaşık hale getiriyor” dedi. “Korumalı alanlar genellikle Webview2’den yoksundur veya kullanıcı eylemlerini kopyalamakta başarısız olur, bu da kötü amaçlı yazılımın otomatik tespitten kaçmasına olanak tanır.”
Bu kampanyalarda benimsenen gelişmiş taktiklerden biri, EtherHiding adı verilen bir tekniğin kullanılmasıyla ilgilidir; bu teknikte ele geçirilen sitelere, Bitbucket deposundan son yükü almak için Web3 altyapısına ulaşmak üzere tasarlanmış komut dosyaları enjekte edilir. meşru araçlar (örneğin, “UpdateMe.exe”, “SecurityPatch.exe”).
Bu yürütülebilir dosyalar, meşru ancak çalınmış bir Genişletilmiş Doğrulama (EV) sertifikasıyla imzalanır, böylece şemaya başka bir aldatma katmanı eklenir ve güvenlik korkulukları atlanır. Son adımda, yükü Microsoft Edge (“msedge.exe”) işlemine dağıtmak için “çok katmanlı enjektör” kullanılır.
CoinLurker aynı zamanda eylemlerini gizlemek ve analizleri karmaşık hale getirmek için akıllı bir tasarım kullanıyor; makinenin zaten tehlikeye girip girmediğini kontrol etmek için ağır gizleme, çalışma zamanı sırasında yükün kodunu doğrudan bellekte çözme ve koşullu kontroller, yedek kaynak kullanarak program yürütme yolunu gizlemek için adımlar atma dahil. atamalar ve yinelemeli hafıza manipülasyonları.
Morphisec, “Bu yaklaşım, kötü amaçlı yazılımın tespitten kaçmasını, meşru sistem etkinliğine sorunsuz bir şekilde karışmasını ve filtreleme için süreç davranışına dayanan ağ güvenliği kurallarını atlamasını sağlar.” dedi.
CoinLurker başlatıldığında, soket tabanlı bir yaklaşım kullanarak uzaktaki bir sunucuyla iletişimi başlatır ve kripto para cüzdanları (yani Bitcoin, Ethereum, Ledger Live ve Exodus), Telegram, Discord ve FileZilla ile ilişkili belirli dizinlerden veri toplamaya devam eder.
Lorber, “Bu kapsamlı tarama, CoinLurker’in kripto para birimiyle ilgili değerli verileri ve kullanıcı kimlik bilgilerini toplama şeklindeki birincil hedefinin altını çiziyor” dedi. “Hem ana akım hem de bilinmeyen cüzdanları hedeflemesi, çok yönlülüğünü ve uyarlanabilirliğini gösteriyor ve bu da onu kripto para birimi ekosistemindeki kullanıcılar için önemli bir tehdit haline getiriyor.”
Bu gelişme, tek bir tehdit aktörünün, en az 13 Kasım 2024’ten bu yana FreeCAD, Rhinoceros 3D, Planner 5D ve benzeri yemleri kullanarak grafik tasarım profesyonellerini dışlamak amacıyla Google Arama reklamlarını kötüye kullanan 10 kadar kötü amaçlı reklam kampanyasını düzenlediğinin gözlemlenmesiyle ortaya çıktı. Şekilde.
“Alanlar, en az 13 Kasım 2024’ten bu yana, iki özel IP adresinde barındırılan kötü amaçlı reklam kampanyaları için her gün, her hafta başlatılıyor: 185.11.61[.]243 ve 185.147.124[.]110,” dedi Silent Push. “Bu iki IP aralığından kaynaklanan siteler Google Arama reklam kampanyalarında yayınlanıyor ve hepsi çeşitli kötü amaçlı indirmelere yol açıyor.”
Bu aynı zamanda, bir komuta ve kontrol (C2) sunucusuyla şifreli iletişim kurmak için I2P eşler arası ağını kötüye kullanan, I2PRAT adlı yeni bir kötü amaçlı yazılım ailesinin ortaya çıkmasının da ardından geliyor. I2PRAT’ın aynı zamanda Cofense tarafından I2Parcae RAT adı altında takip edildiğini de belirtmekte fayda var.
Saldırının başlangıç noktası, tıklandığında mesaj alıcısını sahte bir CAPTCHA doğrulama sayfasına yönlendiren bir bağlantı içeren bir kimlik avı e-postasıdır. Bu sayfa, kullanıcıları, başlatmadan sorumlu Base64 kodlu bir PowerShell komutunu kopyalayıp yürütmeleri için ClickFix tekniğini kullanır. RAT’ı bir TCP soketi üzerinden C2 sunucusundan aldıktan sonra dağıtan bir indirici.