Bilgisayar korsanları, Infostealer kötü amaçlı yazılım geliştirmek için Electron Framework’ü kullanıyor


Electron Framework Kötü Amaçlı Yazılım İstismarı

Bilgisayar korsanları, Electron Framework’ün HTML, JS ve CSS gibi web teknolojilerine dayanan platformlar arası masaüstü uygulama yeteneklerini kötüye kullanıyor.

Electron Framework’ün esnekliği ve yaygın olarak benimsenmesi, işletim sistemleri arasında çeşitli kötü amaçlı programların oluşturulmasına olanak tanır.

ASEC’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının, virüslü sistemlerden hassas verileri toplayan gelişmiş bilgi hırsızı kötü amaçlı yazılımlar oluşturmak için Electron Framework’ü aktif olarak kullandıklarını keşfetti.

Teknik Analiz

Electron uygulamaları, Nullsoft Scriptable Install System (NSIS) yükleyicilerini kullanıyor ve bilgisayar korsanları, kötü amaçlı yazılımlarını bir NSIS yükleyicisinde paketleyerek Electron’un yeteneklerinden yararlanıyor.

Ücretsiz Web Semineri | WAAP/WAF ROI Analizinde Uzmanlaşma | Yerinizi Ayırın

Tehdit aktörü, bu yükleme biçimini bu saldırı olayında kötü amaçlı yazılıma uyguladı.

Araştırmacılar iki vaka olduğunu tespit etti: –

Dava 1

Kötü amaçlı yazılımı çalıştırmak, klasör yapısına sahip bir Electron uygulamasını yükler ve çalıştırır.

Electron, işletim sistemi etkileşimi için Node.js’den yararlanır; bu nedenle, .asar dosyasının (genellikle uygulama\kaynaklar yolu) içindeki Node komut dosyasında kötü amaçlı davranışlar bulunur.

Asar’ı yükleme ve paketinden çıkarma (Kaynak – ASEC)

Paketi npm asar aracılığıyla açmak, a.js’de tanımlanan kötü amaçlı mantıkla tam kodu ortaya çıkarır.

Durum 2

Başka bir tür, TeamViewer gibi davranarak kullanıcı verilerini (sistem bilgileri, tarayıcı geçmişleri, kimlik bilgileri) gofile dosya paylaşım hizmetine aktarıyor.

Kullanıcı bilgilerinin toplanması ve yüklenmesi (Kaynak – ASEC)

NSI komut dosyaları genellikle doğrudan NSIS yükleyicilerinden gelen kötü amaçlı yazılımları çalıştırırken, bu türler, Electron’un yapısını gizlemek için kullanır ve kullanıcılar ve güvenlik araçları tarafından tespit edilmekten kaçınır.

Bunun yanı sıra, güvenlik analistleri güvende kalmak için kullanıcıları oyunları ve yardımcı programları yalnızca resmi web sitelerinden almaya çağırdı.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Orijinal yazılım gibi görünen kötü amaçlı yazılımların indirilmesini önlemek için bu tür programları yalnızca resmi kaynaklardan edinin.
  • Kötü amaçlı kod saklıyor olabileceğinden, herhangi bir Electron çerçeve tabanlı uygulamaya karşı dikkatli olduğunuzdan emin olun.
  • Yeni tür tehditleri engellemek için güvenlik yazılımınızı ve işletim sisteminizi sık sık güncellediğinizden emin olun.
  • NSIS biçimindeki yükleme dosyalarından şüphelenmelisiniz çünkü bunlar kötü amaçlı kodlar çalıştırabilir.
  • Olası veri sızıntılarına karşı erişim kontrollerini uygulayın ve yüklemeleri izleyin.
  • Kullanıcılar, gerçek uygulamalara benzeyen kötü amaçlı yazılım indirmenin tehlikesini bilmelidir.
  • Yazılımın orijinalliğini ve kaynağını doğrulamak önemlidir.

IoC’ler

  • 9926e2782d603061b52d88f83d93e7af (TeamViewer.exe)
  • cfc6e0014b3cc8d4dcaf0d76e2382556 (BetterShaders Kurulumu 1.0.3.exe)
  • b150afa6b3642ea1da1233b76f7b454e (Yazılım.exe)

Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.



Source link