Tehdit aktörleri, kimlik avı web sitelerini kullanarak kötü amaçlı yazılımları dağıtıyor ve genellikle özgünlüklerini artırmak amacıyla çeşitli platformlarda tanınmış ürün markaları gibi davranıyorlar.
Cyble Araştırma ve İstihbarat Laboratuvarı yakın zamanda “WarpVPN”i taklit eden ve Windows, Linux ve macOS için özel olarak tasarlanmış kötü amaçlı yazılımlar dağıtan oldukça gelişmiş bir kimlik avı kampanyası keşfetti.
Belirli bir platformda belirli programların kurulumuna ilişkin kullanıcılara talimatlar sağlamak için tasarlanmış hayali bir web sitesidir.
Çalıcı kurulduktan sonra kripto para birimleriyle ilgili tarayıcı uzantıları, bağımsız kripto cüzdanları, kaydedilmiş tarayıcı parolası ayrıntıları, oturum açma bilgileri, çerezler, SSH anahtarları, macOS parolaları ve Anahtarlık bilgileri gibi değerli verileri çıkarır.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Araştırmacılar bu hırsıza “Cheana” adını verdi ve Windows ve macOS VPN kullanıcılarına saldırdığı tespit edildi.
Marka kimliğine bürünme ve ayrıntılı talimatlarla birleştirilen bu çok platformlu yaklaşım, kullanıcıların bilinen güvenlik programlarına olan güvenini artırarak tehdit aktörlerinin sızmasını kolaylaştırıyor.
Cheana Stealer VPN Kullanıcılarına Saldırıyor
C&C sunucusu “ganache.live” ile bağlantılı Cheana Stealer kampanyası, bir VPN hizmetini taklit eden bir kimlik avı sitesi aracılığıyla kötü amaçlı yazılım dağıtmak için bir Telegram kanalını (54.000’den fazla abone) kullanıyor.
“install.bat”, “install-linux.sh”, “install.sh” gibi platforma özgü betikleri kullanarak Windows, Linux ve macOS’u hedefliyor.
Windows’ta PowerShell komutları, Python’ı kontrol eden, bağımlılıkları yükleyen ve kötü amaçlı “hclockify-win” paketini çalıştıran “install.bat” dosyasını indirir.
Bu hırsız, kripto para cüzdanlarını (MetaMask, Trust Wallet, Bitcoin, Monero), tarayıcı uzantılarını ve saklanan şifreleri hedef alıyor.
Chrome tabanlı tarayıcıların “Giriş Verilerini” şifresini çözmek için “CryptUnprotectData()” kullanır ve Firefox kimlik bilgileri için nss3.dll’den yararlanır.
Linux ve macOS varyantları, eklenen SSH anahtar hırsızlığıyla benzer işlevler gerçekleştirir. macOS’ta, kullanıcı kimlik bilgilerini yakalamak için sistem istemlerini taklit eder ve bunları “dscl . -authonly” ile doğrular.
Veri sızdırma, çalınan bilgilerin kategorilere ayrılmış ZIP arşivlerine sıkıştırılmasıyla, “hxxps://ganache.live/api/v1/attachment” adresine yapılan HTTPS POST istekleri aracılığıyla gerçekleşiyor.
Dil analizine göre muhtemelen Rusça olmayan saldırganlar, sızdırılan verileri Django Rest Framework arayüzü üzerinden yönetiyor.
Kampanyada, hedef olarak meşru Cloudflare Warp uygulamasının yüklenmesi gibi karartma teknikleri kullanılıyor ve Chrome, Firefox, Brave ve Edge gibi birden fazla tarayıcı hedef alınıyor.
2021 yılında el değiştirdiği düşünülen operasyon, yıkıcı faaliyetlere geçmeden önce kullanıcı güvenini oluşturan bir strateji izliyor.
Bu çok platformlu saldırı, kötü amaçlı yazılım dağıtımına kapsayıcı bir yaklaşım gösteren özelleştirilmiş kötü amaçlı betikler aracılığıyla Windows, Linux ve macOS sistemlerini hedef alıyor.
Kampanya, her işletim sistemi için benzersiz yükler geliştirildiğinden etkili hale gelir ve sonuç olarak farklı ortamlarda başarılı bir şekilde yürütülmesi sağlanır.
Bu, saldırganların çeşitli sistemleri tehlikeye atabileceği, bu sayede çok sayıda kullanıcıdan hassas bilgileri toplayabileceği ve operasyonun etki alanını ve etkisini genişletebileceği anlamına geliyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Yazılımları yalnızca güvenilir kaynaklardan indirdiğinizden emin olun.
- Kullanıcıları kimlik avı riskleri konusunda eğitin.
- Her zaman VPN’in gerçekliğini doğrulayın.
- Güçlü uç nokta koruması kullanın.
- Güvenlik araçlarıyla C&C sunucu iletişimlerini izleyin ve engelleyin.
- Tüm hesaplarda MFA’yı etkinleştirin.
- Düzenli olarak bir olay müdahale planı oluşturun ve test edin.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial