Siber suçlular, kötü amaçlı yazılım dağıtımının araçları olarak giderek daha meşru yazılım kurulum çerçevelerine dönüştü ve Inno kurulumu güvenlik önlemlerini atlamak isteyen tehdit aktörleri için tercih edilen bir araç olarak ortaya çıktı.
Başlangıçta yazılım dağıtımını basitleştirmek için tasarlanan bu meşru Windows yükleyici çerçevesi, tarayıcı kimlik bilgilerini ve kripto para birimi cüzdanlarını hedefleyen bilgi çalma kötü amaçlı yazılım kampanyaları için gelişmiş bir dağıtım mekanizması haline gelmiştir.
Kötü niyetli kampanya, çok aşamalı kötü amaçlı yazılım yüklerini gizleyen meşru görünüşte yazılım yükleyicileri oluşturmak için Inno Setup’un Pascal komut dosyası özelliklerini kullanıyor.
.webp)
Bu silahlı kurulumcular, sonuçta Redline Stealer’ı dağıtan karmaşık enfeksiyon zincirlerini yürütürken meşru uygulamalar olarak maskelenir.
Splunk araştırmacılarının son analizi, güvenlik araçları ve kum havuzu ortamları tarafından algılanmaktan kaçınmak için birden fazla kaçırma tekniğinden yararlanan sofistike bir saldırı zinciri belirlemiştir.
Kampanya, enfeksiyon süreci boyunca kalıcılığı korumak ve tespitten kaçınmak için XOR şifrelemesi, anti-analiz önlemleri ve meşru sistem araçlarını kullanan gelişmiş Tradecraft’ı göstermektedir.
Saldırı vektörü, tehdit aktörlerinin kullanıcıların yazılım yükleyicilerine verdiği doğal güvenleri kötüye kullandığı için kötü amaçlı yazılım dağıtım taktiklerinde önemli bir evrimi temsil ediyor.
Inno kurulumu gibi meşru çerçevelerden yararlanarak, saldırganlar kötü amaçlı yazılımları kimlik avı kampanyaları, tehlikeye atılmış yazılım depoları ve kullanıcılardan veya güvenlik sistemlerinden anında şüphe duymadan kötü niyetli reklamlar dahil olmak üzere çeşitli kanallar aracılığıyla dağıtabilirler.
Gelişmiş Kaçma ve Kalıcılık Mekanizmaları
Kötü amaçlı yazılımın sofistike kaçış stratejisi, kritik dizeleri ve komutları gizlemek için XOR şifrelemesini kullanan Pascal Script uygulamasıyla başlar.
Yürütme üzerine yükleyici, Windows Yönetimi Enstrümantasyonu (WMI) sorgularını kullanarak kapsamlı çevre analizi gerçekleştirir ve özellikle yürütülür Select * From Win32_Process where Name= Kötü amaçlı yazılım analiz araçlarıyla ilişkili süreçleri tanımlamak için.
Analiz araçları tespit edilirse, yükleyici derhal araştırmayı önlemek için sonlandırılır.
.webp)
Kampanya, dosya adı desen eşleştirme ve sistem profili oluşturma dahil olmak üzere birden fazla sanal alan kaçırma katmanını kullanır.
Kötü amaçlı yazılım, yükleyicinin dosya adındaki belirli alt dizeleri, yük sunumuna geçmeden önce “Application_stable_Release” gibi kontrol eder.
Ayrıca, WMI sorgularını yürütür SELECT * FROM Win32_Processor Ve SELECT * FROM Win32_ComputerSystem Sistem bilgilerini toplamak ve kötü amaçlı yazılım analizi için yaygın olarak kullanılan sanal makine ortamlarını tanımlamak.
Kalıcılık için, kötü amaçlı yazılım, komutu kullanarak gizli planlanmış görevler oluşturur schtasks /Create /xml %temp%\lang WhatsAppSyncTaskMachineCore /f.
Yük çıkarılır %APPDATA%\Roaming\controlExplore\ ve sistem yeniden başlatması üzerine otomatik olarak yürütülecek şekilde yapılandırılmıştır.
Enfeksiyon zinciri, meşru bir uygulamanın (skorfeedbacktool.exe) yüklediği ve daha sonra, kırmızı çizgili çalkayıcıyı yeniden çözen ve yürüten bir hanjurör bileşenini yüklediği ve yürüttüğü DLL yan yükleme ile sonuçlanır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi