Bilgisayar korsanları, yaygın kullanımı ve güveni nedeniyle Word belgelerini silah olarak kullanıyor.
Bu, kullanıcıların bunları açma konusunda kandırılma kolaylığı ile kolaylaştırılmıştır.
Bu belgeler, kurbanın makinesinde kötü amaçlı kod çalıştırmak üzere etkinleştirildiğinde tehlikeli olabilecek makrolar veya açıklardan yararlanma olanakları içerebilir. Bu, bir saldırganın verileri çalmasına, kötü amaçlı yazılım yüklemesine ve hatta sistem üzerinde uzaktan kontrol sahibi olmasına olanak tanır.
Cisco Talos’taki siber güvenlik araştırmacıları yakın zamanda “CarnavalHeist” olarak adlandırılan kötü amaçlı yazılımın oturum açma kimlik bilgilerini çalmak için Word belgelerini aktif olarak silah haline getirdiğini keşfetti.
CarnavalHeist Word Belgelerini Silahlandırma
CarnavalHeist’in Brezilyalılara odaklandığı kesindir.
Bu, yalnızca Portekizce dilinin ve Brezilya argosunun kullanımının yanı sıra, büyük ölçüde Brezilya’nın önde gelen finans kurumlarına yoğunlaşan Microsoft Azure barındırma tesisi Brezilya Güney bölgesinde bulunan komuta ve kontrol altyapısına dayanmaktadır.
Ancak Şubat 2024’ten itibaren bu kötü amaçlı yazılımın gözle görülür etkinlikleri devam ediyor.
Tam Veri İhlali Koruması mı arıyorsunuz? MSP’ler için Cynet’in Hepsi Bir Arada Siber Güvenlik Platformunu deneyin: Ücretsiz Demoyu Deneyin
Örnekler 2023’ün sonlarından bu yana VirusTotal’da görülse de, sürekli bir gelişme gösteriyorlar.
Talos, CarnavalHeist’in Brezilya’daki yeni kötü amaçlı yazılım örneklerini tespit etmeye devam ettiği için Mayıs 2024 itibarıyla hâlâ aktif durumda.
CarnavalHeist’i başlatmak için kötü niyetli fatura temalı e-postalar kullanılıyor ve bunlar, kullanıcıları kısaltılmış URL’lere tıklamaya teşvik ediyor ve bu da onları sahte fatura web sitelerine yönlendiriyor.
Bu web sitesi daha sonra WebDAV aracılığıyla kötü amaçlı bir LNK dosyasını indirir ve bu dosya bir sonraki aşamadaki veriyi çalıştırır.
Saldırıda, alan adları, dosyalar ve içeriklerde “Nota Fiscal Eletrônica” (elektronik fatura) gibi Portekizce terimler yaygın bir şekilde kullanılarak Brezilyalı kullanıcılar için sosyal mühendislik cazibesi artırılıyor.
Kötü amaçlı komutların yürütülmesine yönelik yaygın tehdit aktörü teknikleri, bu LNK dosyasının meta verilerinde örneklenmiştir.
Kötü amaçlı yazılım, arka planda kötü amaçlı kod çalıştırırken kullanıcıları yanıltmak için sahte PDF belgesi göstermek gibi aldatıcı teknikler kullanıyor.
Gizlenmiş Python komut dosyalarını, dinamik olarak oluşturulmuş alanları ve bir bankacılık Truva Atı yükünün yüklenmesine eklenen DLL’leri kullanır.
Bu Truva Atı, yer paylaşımlı saldırılar kullanarak Brezilya finans kurumlarını hedef alıyor. Kimlik bilgilerini, ekran görüntülerini ve videoları yakalar ve uzaktan erişim sağlar.
Kapasitelerinden biri, işlemleri çalmak için QR kodları oluşturmayı içerir.
Brezilya’da bu kampanyaların bazı yönlerini gerçekleştiren kişilere işaret eden açığa çıkan proje meta verileri ve alan adı kayıt ayrıntıları.
Cisco, CarnavalHeist’in yükleri ve C2 iletişimlerini indirmek için Azure BrezilyaGüney bölgesi altında dinamik olarak alt alanlar oluşturan bir etki alanı oluşturma algoritması (DGA) olduğunu söyledi.
Python betiği, olası alt alanlar oluşturmak için tarihleri ve gömülü bir dizeyi kullanırken, son veri yükü, C2 alanlarını oluşturan tarih ve saat parametreleriyle birlikte hedeflenen bankalarla ilişkili çekirdek değerlerden yararlanır.
Kanıtlar, kampanyanın Kasım 2023’ten bu yana aktif olabileceğini, ancak oluşturulan DGA alan adlarının telemetri kaynaklarının analizinin gösterdiği gibi yoğun faaliyetlerin Şubat 2024’te başladığını gösteriyor.
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.