Bilgisayar korsanları, popüler bir Notepad++ eklentisini manipüle ederek, yürütüldükten sonra kullanıcıların sistemlerini tehlikeye sokan kötü amaçlı kodlar enjekte etti.
AhnLab Güvenlik İstihbarat Merkezi (ASEC) araştırmacıları, saldırıyı gerçekleştirmek için yaygın olarak kullanılan “mimeTools.dll” eklentisinin değiştirildiğini ortaya çıkardı.
Çok yönlülüğü ve eklenti desteği nedeniyle programcılar ve yazarlar tarafından tercih edilen bir metin ve kaynak kodu düzenleyicisi olan Notepad++, farkında olmadan siber suçlular için bir araç haline geldi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Kötü Amaçlı ve Meşru Paket
Notepad++’ın varsayılan bir bileşeni olan değiştirilmiş “mimeTools.dll” eklentisinin meşru bir paket gibi davranarak kullanıcıları tehlikeye atılmış sürümü indirip yükleme konusunda aldattığı keşfedildi.
Base64 gibi kodlama işlevleriyle bilinen mimeTools eklentisi, Notepad++ başlatıldığında otomatik olarak yüklenir. Saldırganlar, DLL Hijacking olarak bilinen bir teknik kullanarak bu davranıştan yararlandılar.
Notepad++.exe başlatıldığında, “mimeTools.dll” dosyası otomatik olarak yüklenir ve kullanıcının başka bir eylem yapmasına gerek kalmadan gömülü kötü amaçlı kodun etkinleştirilmesi tetiklenir.
Saldırganlar, şifrelenmiş kötü amaçlı Kabuk Kodunu ve bu kodun şifresini çözüp çalıştıracak kodu “mimeTools.dll” dosyasına ustaca ekledi.
ASEC’in araştırması, değiştirilen pakette kötü amaçlı kabuk kodunun taşıyıcısı olarak “certificate.pem” adlı bir dosyanın bulunduğunu ortaya çıkardı.
Manipülasyona rağmen eklentinin orijinal işlevleri bozulmadan kaldı ve yalnızca DllEntryPoint kodu değiştirildi. Bu gizli yaklaşım, kötü amaçlı etkinliklerin kullanıcının haberi olmadan DLL yüklendiği anda başlamasını sağlar.
Kötü amaçlı kodun yürütme akışı, Notepad++’ın başlatılması ve ardından “mimeTools.dll” dosyasının yüklenmesiyle başlar.
DLL daha sonra “certificate.pem” dosyasında bulunan Kabuk Kodunun şifresini çözer ve çalıştırarak saldırıyı başlatır.
Siber suçlular taktiklerini geliştirmeye devam ederken, siber güvenlik topluluğu bu tür tehditleri ortaya çıkarma ve azaltma, kullanıcıların dijital deneyimlerini koruma konusunda kararlılığını sürdürüyor.
IoC
Dosya teşhisi
– Truva Atı/Win.WikiLoader.C5594131
– Truva Atı/Win.WikiLoader.R642896
– Trojan/Bin.ShellCode
[MD5]
– c4ac3b4ce7aa4ca1234d2d3787323de2 : paket dosyası(npp.8.6.3.portable.x64.zip)
– 6136ce65b22f59b9f8e564863820720b : mimeTools.dll
– fe4237ab7847f3c235406b9ac90ca8 45: sertifika.pem
– d29f25c4b162f6a19d4c6b96a540648c: paket dosyası(npp.8.6.4.portable.x64.zip)
– 8b7a358005eff6c44d66e44f5b266d33 : mimeTools.dll
– d5ea5ad8678f362bac86875cad47ba21 : sertifika.pem
[C&C]
– hxxps://car****************.com/wp-content/themes/twentytwentytwo/nnzknr.php?id=1
– hxxps://pro** ********.net/wp-content/themes/twentytwentythird/hyhnv3.php?id=1
– hxxps://www.era********.eu/wp-content/themes /twentytwentyfour/dqyzqp.php?id=1
– hxxps://www.mar************.it/wp-content/themes/twentytwentyfour/c2hitq.php?id=1
– hxxps:/ /osa*******.com/wp-content/themes/twentytwentythird/ovqugo.php?id=1
– hxxps ://www.ala************.com/ wp-content/themes/twentytwentyfour/34uo7s.php?id=1
– hxxps://13*********.org/wp-content/themes/twentytwentythird/t51kkf.php?id=1
– hxxps:/ /alt****************.com/wp-content/themes/twentytwentyfour/c9wfar.php?id=1
– hxxps://www.am********. com/wp-content/themes/twentyten/b9un4f.php?id=1
– hxxps://lu********************.com/wp-content/themes /twentytwentytwo/pam8oa.php?id=1
– hxxps://www.yu********.de/wp-content/themes/twentytwentytwo/n2gd2t.php?id=1
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide