Tehdit aktörleri, Microsoft’un Deklaracja.chm adlı önemli bir örnekle Polonya’dan Virustotal’a yüklendiği önemli bir örnekle Microsoft HTML Yardım (CHM) dosyalarını derlemiş.
Sıkıştırılmış HTML ve ilişkili nesneler için ikili bir kap olan bu CHM dosyası, çok aşamalı bir enfeksiyon zinciri için bir dağıtım aracı olarak hizmet eder.
Varsayılan HH.EXE işleyicisi aracılığıyla yürütüldükten sonra, dosya arka planda kötü niyetli süreçler başlatırken Polonya Bankası PKO’dan kurbanlara bir banka transfer makbuzu taklit ederek bir tuzak görüntüsü DekkeRaCja.png görüntüler.
Teknik döküm
Decompression çekirdek bileşenleri ortaya çıkarır:#’ile ön eklenmiş standart CHM sistem dosyaları, şaşkın bir dizin. PNG.
Index.htm’daki gizlenmiş JavaScript, büyük bir onaltılık dizeyi yürütülebilir HTML’ye kodladı, bu da tuzak ekranı için bir IFrame oluşturarak saldırıyı düzenleyen, kullanımdan kaldırılandan yararlanıyor
Rapora göre, bu Activex Control bir komut zincirini yürütmek için bir düğme tıklamasını simüle eder: minimize edilmiş bir cmd.exe %sıcaklıkta gezinir, lolbin forfiles.exe. Sıralı #1.
UNT32.dll, yığıntan şifresini çözme için 128 bayt dönen bir anahtar kullanarak xor şifreli dizelerle C ++ indiricisi (örneğin, kullanıcı ajanı için 5 baytlık segmentler), Winhttp API’lerini Hxxps: // Rustyquill’den bir yük elde etmek için kullanır.[.]Top/shw/the-magnus-protoco1.jpg Paslı Quill podcast’e atıfta bulunan bir etki alanı ve dosya adı.
İndirici, yanıt boyutunun 289109 baytını aştığını doğrular, ilk segmenti (muhtemelen iyi huylu bir JPEG başlığı) şeritler, aynı xor anahtarıyla eklenen verileri şifresini çözer, ortaya çıkan dll’i C: \ User’lar%User%\ Appdata \ local \ Tasksync olarak kaydeder.
Daha geniş sonuçlar
Bu taktik, 7 Nisan 2025’te paylaşılan dowód_wpłaty.zip’teki bir CHM dosyası da dahil olmak üzere önceki kampanyalarla uyumludur.[.]Kalıcı bir tehdit oyuncusu önermek.
Atıf, Lehçe yükleme kökeniyle tutarlı olarak Ukrayna, Litvanya, Letonya, Polonya ve Almanya’yı hedeflemede tarihi ilgi alanlarına sahip Belarus bağlantılı bir grup olan Frostyneighbor veya UNC1151’e işaret ediyor.
Bankacılık belgeleri ve podcast referansları gibi temalı yemlerin kullanılması, bölgesel kurbanlara göre uyarlanmış sosyal mühendisliği, iyi huylu görüntü maskeli bahçeleri ve dolaylı komut yürütme yoluyla potansiyel olarak algılamayı gösteriyor.
JPEG başlıkları ve bayt desenleri eşleşen Yara kuralları aracılığıyla magnus-protoco1.jpg’nin eklenmiş ödeme sürümlerini bulma çabaları, geçici veya coğrafi teslimatta ipucu vermedi.
Bu, kötü amaçlı yazılım dağıtım için CHM gibi eski formatların gelişen kötüye kullanılmasının altını çizmektedir, engebeli savunmaları atlamak için görüntülerde gizleme, ActiveX sömürüsü ve steganografik teknikler.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Değer | Tanım |
|---|---|---|
| Dosya SHA256 | 0d3dbaa764kb2b87ae075aa2f5f92437891b39587b0c5e67a93b10db39dd9 | Declaration.chm |
| Dosya SHA256 | 156AD4975E833435B2140D3C8FE62798FE6883364AF1A1713F8B76C7B33947 | index.htm |
| Dosya SHA256 | BE5A40B562D21B46CBC87FD6C3F8BCB536C8480491A651C1625E03AE2C6F | Desktop.mp3 (kabin dosyası) |
| Dosya SHA256 | F55E06A87E2A20989DDB7D9F2E3B3B303659AD306BA54E3ED7F8DCC445D71B | Declaration.png (bozulma) |
| Url | hxxps: // rustyquill[.]Üst/shw/the-magnus-protoco1.jpg | Yük indir bitiş noktası |
| Dosya SHA256 | 0631696F48463F4AB8F817AF2A668806AB4DCA70F006DC56FC9CD9DCDA4DBE | Önceki örnek: dowod.chm |
| Dosya SHA256 | 4D09FAD2630EC33AB6B45B85455C6A6AC7B52F8DAE9B90736DB4A5F00F72EA9 | Önceki örnek: prova_wppał.zip |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.