Kripto para birimlerini çalmak ortak bir olaydır ve bu trende yakın zamanda eklenen bir diğer özellik de, esas olarak birden çok aşamada kripto para birimini çalmak için tasarlanmış olan DoubleFinger yükleyicidir.
Bu son ekleme, DoubleFinger yükleyici, tanımlanmış Securelist’teki güvenlik araştırmacıları tarafından.
.png
)
DoubleFinger’ın yükleme işleminin ilk aşaması, kurbanın bir e-postadaki zararlı bir PIF ekini açıp, DoubleFinger’ın hedeflenen makinede konuşlandırılmasına neden olmasıyla başlar.
Bu durumda Trustifi gibi Şirketler, iş e-postanızı hedefleyen gelişmiş e-posta tehditlerini durdurur. Yapay Zeka Destekli E-posta Güvenliği.
DoubleFinger Aşama Analizi
Aşağıda, tüm DoubleFinger aşamalarından bahsetmiştik:-
- DoubleFinger aşama 1
- DoubleFinger 2. aşama
- DoubleFinger 3. aşama
- DoubleFinger 4. aşama
- DoubleFinger 5. aşama
“espexe.exe” ikili dosyası, ilk aşamada birkaç değişikliğe uğrar ve DialogFunc, kötü amaçlı bir kabuk kodunu yürütmek için özel olarak yamalanır.
Imgur.com’dan bir PNG görüntüsü, hash değerleri kullanılarak DialogFunc’a eklenen API işlevleri tanımlandıktan sonra kabuk kodu aracılığıyla indirilir.
Görüntü, aşağıdakileri içeren şifrelenmiş bir yük içerir: –
- Dördüncü aşama yüküne sahip bir PNG
- Şifrelenmiş bir veri blobu
- Geçerli bir java.exe ikili dosyası
- DoubleFinger 2. aşama yükleyici
Aşama 2 yükleyici kabuk koduyla aynı dizinde bulunan msvcr100.dll adlı Java ikili dosyasının yürütülmesi, ikinci aşama kabuk kodunu yüklemek için gerçekleştirilir.
Üçüncü aşama kabuk kodu, birinci ve ikinci aşamalara kıyasla önemli farklılıklar gösterir.
Güvenlik çözümleri tarafından ayarlanan kancaları atlamak için işlem belleği, düşük düzeyli Windows API çağrılarını kullanarak ntdll.dll dosyasını yükler ve eşler.
Bunu takiben, bir sonraki adım olarak PNG dosyasında bulunan şifresi çözülmüş dördüncü aşama yükü yürütülür. Veriler belirli lokasyonlardan alındığı için kullanılan steganografi yönteminin oldukça gerekli olduğunu göstermektedir.
İlk eylem, beşinci aşamayı kendi içinde belirlemek ve ardından İşlem “Doppelgänging” tekniğini kullanarak yürütmektir.
TebrikGhoul hırsızını düzenli olarak çalıştırmak için beşinci aşama, onu her gün belirli bir saatte etkinleştiren zamanlanmış bir görev oluşturur.
Birçok siber suçlu, sık sık iyi bilinen bir ticari Uzaktan Erişim Truva Atı (RAT) olan Remcos’a güvenir.
Kurbanlar ve Atıf
Securelist’teki güvenlik uzmanları, kötü amaçlı yazılımın içinde Rusça yazılmış çok sayıda metin bölümüyle karşılaştı.
Aşağıda, tespit edilen izlerden bahsetmiştik:-
- C2 URL’sinin ilk bölümünde Rusça “Selamlar” kelimesinin yanlış yazılmış bir çevirisi.
- Bir dizi “salamvsembratyamyazadehayustutlokeretodlyagadovveubilinashusferu”, “Tüm kardeşlerime selamlar, burada boğuluyorum, dolap piçlerindir, ilgi alanımızı mahvettiniz.”
Bunun dışında, esas olarak hedef alınan mağdurlar aşağıdakilerden oluşur:-
- Avrupa
- Amerika
- Latin Amerika
DoubleFinger yükleyici ve TebrikGhoul kötü amaçlı yazılımı, suç yazılımı oluşturma konusundaki ileri düzeyde karmaşıklıkları ve becerileriyle APT’lere benzetilebilir.
Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin