Siber suçlular genellikle ücretsiz uygulamaları, bunları özgürce kullanan çok sayıda insandan yararlanmak için kullanır.
Daha geniş kullanıcı tabanı, kötü amaçlı yazılımların etkili bir şekilde dağıtılmasını sağlayan daha büyük bir saldırı yüzeyi görevi görür.
Ayrıca, saldırganların yetkisiz erişim elde etmek için kullanabileceği üçüncü taraf eklentilerin veya özelliklerin freemium uygulamalara entegre edilmesi durumunda da bu durum meydana gelebilir.
ASEC'teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının ücretsiz üretkenlik uygulamalarının cazibesine kapılan MSIC kötü amaçlı yazılımlarını yaydığını keşfetti.
Bilgisayar korsanları MSIX Kötü Amaçlı Yazılım Sunuyor
Kötü Amaçlı MSIX dosyası bir Notion yükleyicisi gibi görünüyor ve web sitesi resmi sayfayı taklit ediyor.
Notion-x86.msix'in geçerli bir sertifikayla imzalanmış Windows uygulama yükleyicisi teslim edildi.
Bunun yanı sıra, kurulum görünüşte meşru Notion dağıtımını ister, ancak sisteme kötü amaçlı yazılım bulaşır.
Kullanıcı Yükle'ye tıklar ve kötü amaçlı yazılım bulaşmış Notion'u alır. ASEC, kurulumların uygulama yolunda StartScriptWrapper.ps1 ve yenileme.ps1 oluşturduğunu söyledi.
StartScriptWrapper.ps1, bağımsız değişkenden Powershell betiğini çalıştıran ve kurulum ve betik yürütme sırasında config.json'u okuyan bir MS imzasına sahiptir.
Refresh.ps1, C2 komutlarını alıp yürüten kötü amaçlı yazılımdır.
Bununla birlikte, 8.663 karakterlik karartılmış bir komut dosyasından 200 karakterlik bir komutun kodunu çözmek için eklenen/çarpılan boş karakterler tamsayıları kullanılarak büyük ölçüde karartılmıştır.
200 karakterlik komut, C2'den ek PowerShell'i getirir ve çalıştırır.
İlk analiz LummaC2 kötü amaçlı yazılım dağıtımını doğruladı.
Günlükler hxxps'yi gösteriyor[:]//fleet-contents.com/1.dat indirildi, PowerShell.exe'de çalıştırıldı – 1.dat'i getirme/yükleme işlemine büyük olasılıkla C2 yanıtı.
1.dat, LummaC2'yi RegAsm.exe'ye enjekte etmek için işlem boşluğunu kullanan .NET EXE'dir. Kötü amaçlı davranış süreç ağacı Windows Installer hizmet ana bilgisayarından başlar.
LummaC2, tarayıcı verilerini, kripto cüzdanlarını ve dosyaları hedef alan bir bilgi hırsızıdır.
Kullanıcıların, meşru sertifika kullanımına rağmen dosya kaynaklarının resmi alan adlarıyla eşleştiğini doğrulamaları ve imza yazarlarını kontrol etmeleri önerilir.
IoC'ler
Dağıtım Web Siteleri
- hxxps://trynotion[.]kuruluş
- hxxps://notion.rtpcuan138[.]iletişim
- hxxps://emobileo[.]com/Notion-x86.msix
Dosya
- d888a82701f47a2aa94dcddda392c07d (Damlalık/APPX.LummaC2 2024.02.28.00) (Notion-x86.msix)
- 3cdc99c2649d1d95fe7768ccfd4f1dd5 (İndirici/PowerShell.Obfus 2024.02.28.00) (refresh.ps1)
- 8a3a10fcb3f67c01cd313a39ab360a80 (Trojan/Win.Generic.C5557471 2024.02.27.01) (dat1)
C2
- hxxps://reklamlar-diş[.]top/check.php (refresh.ps1)
- hxxps://filoiçeriği[.]com/1.dat (check.php)
- hxxps://problemregardybuiwo[.]eğlence/api (LummaC2)
- hxxps://teknolojienterdo[.]mağaza/api (LummaC2)
- hxxps://lighterepisodeheighte[.]eğlence/api (LummaC2)
- hxxps://detectordiscusser[.]mağaza/api (LummaC2)
- hxxps://edurestunningcrackyow[.]eğlence/api (LummaC2)
- hxxps://fakirakşamfuseor[.]pw/api (LummaC2)
- hxxps://türkiyeunlikelyofw[.]mağaza/api (LummaC2)
- hxxps://associationokeo[.]mağaza/api (LummaC2)
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.