Son haftalarda, siber güvenlik müfettişleri, bilgisayar korsanlarının gizli Windows kötü amaçlı yazılım sunmak için potansiyel olarak istenmeyen program (PUP) reklamlarından yararlandığı yeni bir kampanya ortaya çıkardılar.
Cazibe genellikle kurbanları taklit edilen indirme sitelerine yönlendiren ücretsiz PDF araçlarını veya masaüstü asistanlarını tanıtan reklamlarla başlar.
Kullanıcılar tıkladıktan sonra, zamanlanmış bir görev, geçici bir dizinden bir JavaScript yükleyicisini sessizce alır ve Microsoft HTML Uygulama Ana Bilgisayar (MSHTA) aracılığıyla yürütür.
Bu dizi, hedef ortamlarda dayanaklar oluştururken meşru görünecek şekilde tasarlanmış bir tuzak uygulaması – ManualFinder – yükler.
Yavaşlığın zararsız işlevselliği çok daha sinsi bir hedefi maskeliyor. Çalıştırıldığında ManualFinder, ilk kurulumun ötesinde hiçbir kullanıcı etkileşimi istemez, sessizce açma bağlantı noktalarını ve komutları uzak altyapıya aktarır.
Expel analistleri, JavaScript yükleyicisinin daha önce konut proxy hizmetleriyle ilişkili MKA3E8.com ve 5B7CRP.com gibi alanlara ulaştığını ve bu da enfekte makineleri proxy ağlarına takmak için daha geniş bir şemaya ulaştığını belirledi.
İlk enfeksiyonlar OneTart tarayıcı yüklemelerine bağlanmış olsa da, araştırmacılar, her biri “Glint Software Sdn. Bhd” gibi kuruluşlardan şüpheli kod imzalama sertifikaları tarafından imzalanan APPSuite-PDF ve PDFEditor yükleyicilerinin aynı kalıpları takip ettiklerini gözlemlediler.
Expel araştırmacıları, kötü amaçlı yazılım kampanyasının etkisinin vekaletnamenin ötesine geçtiğini belirledi. Belirli ortamlarda, PDFEditor kurulumları kullanıcıları ücretsiz düzenleme özellikleri karşılığında konut vekili kullanımını kabul etmelerini ister ve şüpheli olmayan uç noktalardan etkili bir şekilde para kazanır.
Diğer örnekler, tarayıcı profillerini değiştiren ve depolanmış çerezleri hasat eden tuzak uygulamalarını gösterir ve ikincil veri açma hedefleri önerir.
Savunucular, gizli JavaScript çalıştıran olağandışı MSHTA invokasyonlarını veya Node.exe işlemlerini tespit ettiğinde, düşman genellikle kalıcılık ve ağ karakollarını oluşturmuştur.
Toplamda, araştırmacılar 70’den fazla benzersiz JavaScript varyantını katalogladı, hepsi aynı kötü amaçlı alanlara ulaştı.
Programlı görev tanımlarına gömülü kod parçacıkları, kalıcılığın nasıl korunduğunu ortaya koyuyor:-
schtasks /Create /TN "ManualFinderTask" /TR "mshta.exe \"C:\Users\\AppData\Local\Temp\.js\"" /SC DAILY /ST 03:00 .webp)
Yükleyici daha sonra yürütür:-
cmd[.]exe /d /s /c "msiexec /qn /i \"C:\Users\\AppData\Local\TEMP\ManualFinder-v2.0.196.msi\"" .webp)
Enfeksiyon mekanizması
Enfeksiyon mekanizmasına daha derinlemesine giren kampanya, yakınlaştırılamayan dağıtım elde etmek için Windows komut dosyası ana bilgisayarlarını ve MSI yükleyici özelliklerini kullanıyor.
Dizi, planlanan görev, sistem düzeyinde SVCHOST hizmeti bağlamında çalıştığında, randomize bir JavaScript dosya adıyla (örneğin 9b9797f4-274c-fbb9-81ae-3b4f33b7010a.js) başlatıldığında başlar.
Bu komut dosyası, manualfinder msi’yi saldırganın sunucusundan indirir ve sessiz bayraklarla yükler (/qn /n) herhangi bir kullanıcı arayüzünü bastırmak için.
Çünkü msiexec CMD altında çalışır[.]Engelli Autorun ile EXE (/d) ve özel teklif taşıma (/s), kullanıcı uygulamalarına bağlı geleneksel EDR uyarıları genellikle atlanır.
.webp)
Kurulduktan sonra, kötü amaçlı yazılım kendi hizmetini kaydeder ve JavaScript yükleyicisini düzenli aralıklarla yeniden güçlendirmek için planlanmış görevleri, kaldırma girişimlerinden sonra bile yeniden enfeksiyon sağlar.
Bu, bu gizli yürütmeyi sağlayan MSHTA çağırma kodunu göstermektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.