Cyble Research and Intelligence Labs (CRIL) araştırmacıları, hedeflenen sistemlerde ek kötü amaçlı yazılım çalıştırmak ve yüklemek için kullanılan yeni bir yükleyici buldu. Bir Cyble bloguna göre, bulunan ‘AresLoader’ programı veya komut dosyası, aşağıda gösterildiği gibi IcedID ve Lumma Stealer dahil olmak üzere diğer kötü amaçlı yazılımları indirmek ve çalıştırmak için kullanıldı:
Yükleyicinin ayrıntıları: AresLoader
AresLoader, C programlama dilinde yazılmıştır ve 2022’de keşfedilmiştir. Bu yükleyiciyi Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) modelinde destekleyen siber suç forumları ve bir Telegram kanalı bulunmuştur. 5 yeniden yapılanma ile birlikte ayda 300 $ oranında kiralanabilir.
Siber suç forumlarındaki reklam, alıcının 50 $’lık bir yeniden yapılandırma istemesi durumunda hizmetin manuel olarak sağlandığını söylüyor. AresLoader’ın onayına göre, alıcılar bir lisans satın aldıktan sonra siber suç forumlarının kullanıcıları haline gelecek.
AresLoader’ın AiD Locker fidye yazılımı üzerinde çalışan siber suçlular tarafından geliştirildiği CRIL araştırmacıları tarafından doğrulandı.
AresLoader’ın algılama önleme mekanizması
AresLoader’ın ana hedeflerinden biri, yükün şifrelenmesi veya karartılması yoluyla tespit edilmekten kaçınmaktır. Bu, antivirüs ve diğer algılama araçlarının onu sistemde çalışırken bulmasını zorlaştırır.
AresLoader, ikili dosyasında görülen tutarsız kod çıkarma ve enjeksiyon yöntemleriyle hala devam eden bir çalışmadır. Bunun da tespit edilmekten kaçınmak için bir manevra olduğu tahmin ediliyor.
Yürütme üzerine AresLoader, CreateWindowEx() API’sini çağırır. Ayrıca, bu API’nin pencere prosedürü işlevinin, muhtemelen tespit edilmekten kaçınmak için herhangi bir kötü amaçlı dosya içermediği de bulundu. Ayrıca yükleyici, algılama ve analizi karmaşık hale getirmek için API karma tekniğini de yürütür, Cyble blogunda belirtti.
AresLoader’ın dağıtımı
AresLoader, şu adreste bulunan bir GitLab deposu aracılığıyla alıcılara dağıtıldı: hxxps[:]//gitlab.com/citrixchat-project/citrixproject/ Aşağıda gösterildiği gibi:
Bir Citrix projesi kılığına giren yükleyici, GitHub deposunda açık bir şekilde dağıtıldı. Bunun nedeni, siber suçluların AresLoader ile Citrix kullanıcılarını hedeflemesi olabilir. Adlandırılmış AG.exe, AresLoader, LummaStealer ve IcedID yüklerini indirirdi.
Citrix, 9.700’den fazla çalışanı olan Amerika Birleşik Devletleri merkezli çok uluslu bir bulut bilişim şirketidir.
Hem LummaStealer hem de IcedID, sistemlerden bilgi çalıyor ve kimlik avı e-postaları kullanılarak dağıtılıyordu. İlkinin YouTube kullanıcılarını hedef aldığı gözlemlenirken, ikincisi Zoom uygulamasına saldırmak üzere programlandı.
AresLoader’ın teknik detayları
- AresLoader, 32 bitlik bir ikili yürütülebilir dosyadır (SHA:256)
- Bir bellek alanı kaplar ve işlevi kullanarak eylemleri okumak, yazmak ve yürütmek için izin alır. ZwAllocateVirtualMemory().
- Hedeflenen cihazın IP adresine erişir ve ondan diğer verileri çalar.
- Yeni indirilen yükleri kaydetmek için AppData\\Roaming dizininde bir klasör oluşturur.