Bilgisayar Korsanları Kullanıcıları Kopyalama, Yapıştırma ve Komut Yürütme İşlemlerini Kandırmak İçin JavaScript Çerçevesini Kullanıyor

   Haziran 5, 2024  Posted in CyberSecurityNews


Bilgisayar Korsanları Kullanıcıları Kopyalama, Yapıştırma ve Komut Yürütme İşlemlerini Kandırmak İçin JavaScript Çerçevesini Kullanıyor

Bilgisayar korsanları, algılamayı atlamak, kodu gizlemek ve zararlı eylemler gerçekleştirmek için kullanılabilecek çok çeşitli işlevler ve araçlar sundukları için JavaScript çerçevelerini kullanır.

Buna ek olarak, geliştiricilerin ve şirketlerin bu tür popüler çerçevelere olan güveninden yararlanarak güvenlik kontrollerinden kaçmalarını kolaylaştırıyorlar.

Dahası, JavaScript kendi açısından platformlar arasıdır ve çoklu platform saldırılarına açıktır.

ReliaQuest’teki siber güvenlik araştırmacıları, bilgisayar korsanlarının kullanıcıları komutları kopyalama, yapıştırma ve yürütme konusunda kandırmak için JavaScript çerçeveleri kullandığını tespit etti.

With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis

Bilgisayar Korsanları JavaScript Çerçevesini Kullanıyor

Mayıs 2024’te ReliaQuest, ClearFake JavaScript çerçevesi tarafından hazırlanan, yalnızca tıklatılarak yapılan indirme işlemlerinin aksine, kullanıcıların zararlı PowerShell kodunu manuel olarak kopyalayıp yürütmesini gerektiren başka bir kampanya keşfetti.

Bu yöntemin amacı, komutlar doğrudan kullanıcı tarafından çalıştırılırken güvenlik araçlarından kaçınmaktır; bu da çok aşamalı kötü amaçlı yazılım bulaşmasına ve LummaC2 bilgi hırsızlığının yüklenmesine neden olur.

Kullanıcıları başarılı bir şekilde kandırma olasılığı daha düşük olmasına rağmen, eğer doğru yapılırsa tespitleri ve kontrolleri atlayabilir.

Yeni ortaya çıkan bu tehdide karşı kurumlarda PowerShell kısıtlamaları gözden geçirilmeli, kullanıcılara eğitim verilmeli ve azaltıcı önlemler alınmalıdır.

Saldırı akışı (Kaynak – ReliaQuest)

JavaScript çerçevesi ClearFake, hızlı indirmeleri ve sosyal mühendislik stratejilerini kapsamlı bir şekilde kullanır. Genellikle kullanıcıları virüslü dosyaları indirmeye teşvik eden sahte “tarayıcı güncellemesi” mesajları görüntüler.

Sahte güncellemeler (Kaynak – ReliaQuest)

Yakın zamanda yapılan bir kampanyada, sahte tarayıcı hataları göstermek için gerçek web sitelerine sızarak kullanıcıdan bir “kök sertifika” yükleyecek belirsiz PowerShell komutlarını çalıştırmasını istedi.

Herhangi bir ana işlem veya komut satırı olmadan Explorer.exe’yi başlatarak tespitten kaçınır.

Manuel olarak çalıştırıldığında, base64 kodlu PowerShell kodu sonunda LummaC2 kötü amaçlı yazılımını tehlikeye atılmış makinelere bırakıyor.

PowerShell yürütmesi engellendiğinde, saldırgan etki alanı bir kullanıcı aracısı kontrolü yapar ve ardından başka bir PowerShell betiği indirilir.

Bu şekilde, sanal alandan kaçınmak için CPU sıcaklığını kontrol eder ve eğer değer boşsa betiği çalıştırmayı durdurur. Aksi takdirde, orijinal MediaInfo.exe dosyasını ve kötü amaçlı yazılım DLL’sini içeren bir ZIP dosyası indirilecektir.

Sonuç olarak, MediaInfo.exe çalıştığında, DLL yan yükleme yoluyla LummaC2 kötü amaçlı yazılım yükünü yükler.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Yetkisiz PowerShell yürütmesini kısıtlamak için uygulama kontrolünü dağıtın.
  • Güvenilmeyen kod çalıştırma tehditlerine karşı kullanıcı farkındalığını artırın.
  • Kod yerleştirme güvenlik açıklarını önlemek için web sitelerine ve araçlara düzenli olarak yama uygulayın.
  • .xyz TLD’ler gibi yeni kaydedilen şüpheli alan adlarına erişimi engelleyin.
  • Kötü amaçlı PowerShell işlevlerini kısıtlamak için kısıtlayıcı WDAC ilkeleri uygulayın.
  • Komut dosyası komut analizi için uç nokta güvenliğini AMSI ile entegre edin.
  • Kısıtlayıcı PowerShell yürütme ilkelerini zorunlu kılın.

IOC’ler

Hash’ler

  • a467302da10ace0bf96963bcd6bdcd6a4e619e28cd477612988276dfee9f429e
  • 4d417cff26e83e096f6c161a10d6a72774b8bbc8948bf5b6d3156e6f17adac5f
  • 4a058f08157863034a6df89cddc13e81a561eb9ca0e955f4fe38f4ba7b4fa9f7
  • 44a45c396516a3f2705eaf9751a06d346fcae1864f5521356349ce85e78fd386

Saldırgan Tarafından Kontrol Edilen Alanlar

  • baqebei1[.]çevrimiçi
  • cdnfor dosyaları[.]xyz
  • d1x9q8w2e4[.]xyz

Saldırgan Tarafından Kontrol Edilen IP Adresleri

  • 104[.]21[.]29[.]92
  • 172[.]67[.]148[.]183
  • 188[.]114[.]97[.]7

Virüslü Web Siteleri

  • Lambhuaexpress[.]içinde
  • ses madeni[.]Ben
  • Helena[.]pe
  • yutuldu[.]iletişim
  • bu alanda gezinmek[.]iletişim
  • Sportrealeyes[.]BT
  • bölge turizmi[.]meli[.]ar
  • th3sport24[.]iletişim
  • mançak[.]iletişim
  • tonitto[.]iletişim
  • aedjakodu24[.]Evet

Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo 



Source link