Bilgisayar Korsanları Kötü Amaçlı Yazılım Yüklemek İçin Google Reklamlarını Kullanıyor

   Şubat 6, 2023  Posted in CyberSecurityNews


<strong>Bilgisayar Korsanları, Antivirüsten Kaçan Kötü Amaçlı Yazılımları Yüklemek İçin Google Reklamlarını Kullanıyor</strong>” başlık=”<strong>Bilgisayar Korsanları, Antivirüsten Kaçan Kötü Amaçlı Yazılımları Yüklemek İçin Google Reklamlarını Kullanıyor</strong>“/></div> <p>SentinelLabs tarafından kötü amaçlı reklamcılık saldırıları yoluyla yayılan bir sanallaştırılmış.NET kötü amaçlı yazılım yükleyicileri kümesi keşfedildi.</p> <p>MalVirt olarak bilinen yükleyiciler, anti-analiz ve kaçırma için gizlenmiş sanallaştırma ile birlikte işlemi sonlandırmak için Windows İşlem Gezgini sürücüsünden yararlanır.</p> <p>Devam eden bir kampanyanın parçası olarak, MalVirt yükleyicileri artık Formbook ailesinden kötü amaçlı yazılım yaymaktadır. </p> <p class=Formbook ve onun daha yeni varyantı XLoader’ı içeren Formbook kötü amaçlı yazılım ailesi, keylogging, ekran görüntüsü hırsızlığı, web ve diğer kimlik bilgileri hırsızlığı ve diğer kötü amaçlı yazılımların aşamalandırılması dahil olmak üzere çeşitli özellikler kullanan, zengin özelliklere sahip bir bilgi hırsızıdır.

Yükleyicilerin uygulanması ve yürütülmesi, .NET uygulamalarının KoiVM sanallaştırma koruyucusuna dayanan sanallaştırma tarafından gizlenir.

ağ

ConfuserEx.NET koruyucusu için KoiVM eklentisi, bir programın işlem kodlarını gizler, böylece sanal makine bunları yalnızca anlayabilir. Daha sonra sanal makine, uygulama başlatıldığında işlem kodlarını orijinal biçimlerine dönüştürerek uygulamanın çalışmasını sağlar.

SentinelLabs, “KoiVM gibi sanallaştırma çerçeveleri, NET Ortak Ara Dil (CIL) yönergeleri gibi orijinal kodu yalnızca sanallaştırma çerçevesinin anlayabileceği sanallaştırılmış kodla değiştirerek yürütülebilir dosyaları gizler” diyor.

“Bir sanal makine motoru, sanallaştırılmış kodu çalışma zamanında orijinal koda çevirerek yürütür.”

“Sanallaştırma, kötü niyetli kullanıma sunulduğunda, kötü amaçlı yazılım analizini zorlaştırıyor ve ayrıca statik analiz mekanizmalarından kaçınma girişimini temsil ediyor.”

Bilgisayar Korsanları Kötü Amaçlı Yazılım Yüklemek İçin Google Reklamlarını Kullanıyor

Tehdit aktörleri, SentinelLabs’in gözlemlediği devam eden kampanyada Blender 3D yazılımı için olduğu görünen reklamlarda MalVirt yükleyicilerini tanıtıyor.

Araştırmacılar, RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys Stealer, IcedID, Raccoon Stealer ve diğerleri dahil olmak üzere çeşitli kötü amaçlı yazılımları yaymak için geçen ay Google arama reklamlarının kötüye kullanılmasında bir artış fark ettiler.

Kötü amaçlı Google Arama sonuçları
Kötü amaçlı Google Arama sonuçları

Yükleyiciler, dijital olarak imzalandıklarını iddia etmek için Microsoft, Acer, DigiCert, Sectigo ve AVG Technologies USA gibi kuruluşların imzalarını ve karşı imzalarını kullanır.

Ancak her durumda, imzalar ya geçersiz sertifikalar kullanılarak oluşturulmuş ya da sistemin güvenmediği (yani Güvenilir Kök Sertifika Yetkilileri sertifika deposunda saklanmayan) sertifikalardan geliyordu.

SentinelLabs, “Analiz ettiğimiz MalVirt yükleyicileri, özellikle Formbook ailesinden kötü amaçlı yazılım dağıtanlar, MalVirt örneklerinde bazı varyasyonlarla birlikte bir dizi analiz önleme ve algılama önleme teknikleri uyguluyor” diye açıklıyor.

“Ayrıca, statik algılama mekanizmalarından kaçınmak için bazı diziler (amsi.dll ve AmsiScanBuffer gibi) Base-64 ile kodlanmış ve AES ile şifrelenmiştir.”

Sabit kodlu, Base64 kodlu AES şifreleme anahtarlarını kullanan MalVirt yükleyiciler, bu tür dizilerin kodunu çözer ve şifresini çözer.

Yükleyiciler, belirli kayıt defteri anahtarlarını kontrol ederek sanallaştırılmış bir ortamda çalışıp çalışmadıklarını da belirleyebilir. Bu durumda, algılamayı önlemek için yürütme durdurulur.

Ayrıca, İşlem Gezgini sürücüsü genellikle kötü amaçlı yazılım tarafından, algılamayı önlemek için algılama mekanizmalarının işlemlerini sonlandırmak veya manipülasyon için işlem tutamaçlarını çoğaltmak gibi çekirdek ayrıcalıklarına sahip işlemleri gerçekleştirmek için kullanılır.

KoiVM sanallaştırılmış MalVirt derlemesi
KoiVM sanallaştırılmış MalVirt derlemesi

Raporlar, yükleyicilerin ayrıca, sanallaştırılmış kodun koda dönüştürülmesini önlemek için ek gizleme katmanları içeren değiştirilmiş bir KoiVM sürümü kullandığını ve bu da kodun deşifre edilmesini çok daha zor hale getirdiğini belirtti.

“Bu gizleme tekniğini yenmek için, KoiVM’nin değiştirilmiş uygulamasının sabit değişkenlere atadığı değerler, yürütülürken sanallaştırılmış MalVirt derlemesinin belleğinden çıkarılabilir”, SentinelLabs

Bununla birlikte, MalVirt’in değiştirilmiş KoiVM uygulaması, orijinal KoiVM uygulaması tarafından tanımlanan sabit değişkenlerin tanımlandığı sırayı değiştirerek başka bir şaşırtma katmanı sunar.

SentinelLabs’e göre, Formbook’un incelediği örneklerde iletişim kurduğu 17 alandan yalnızca biri gerçek C2 sunucusuydu, diğerleri yalnızca ağ trafiği izleme araçlarını kandırmak için tuzak görevi görüyordu.

İletişimde 16 sahte C2 adresi kullanmak
Kötü amaçlı yazılım iletişiminde birden çok sahte IP kullanma

Son söz

Bu nedenle, Formbook kötü amaçlı yazılım ailesi, önemli sayıda anti-analiz ve anti-tespit taktikleri kullanan MalVirt yükleyicileri aracılığıyla yayılan oldukça etkili bir bilgi hırsızıdır.

Tehdit aktörlerinin kötü amaçlı reklam yoluyla ulaşabilecekleri muazzam kitle göz önüne alındığında, kötü amaçlı yazılımın bu teknik aracılığıyla yayılmaya devam etmesi bekleniyor.

Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin



Source link