Çinli Hackerların Kötü Amaçlı Chrome Yükleyicisine Dikkat Edin

Drive-by indirme yoluyla dağıtılan kötü amaçlı bir Chrome yükleyicisi olan ChromeSetup.msi, şifrelenmiş yükleri kaçamak bir şekilde alıp yürüten Gh0stGambit adlı yeni bir Gh0st RAT çeşidi sunuyor.

RAT, uzun süredir siber casusluk operasyonlarında kullanılmasıyla bilinen Gh0st RAT’tan yararlanarak, Çince konuşan kullanıcıları hedef alan, veri hırsızlığı ve kaçınma yeteneklerine sahip, değiştirilmiş bir açık kaynaklı sürümdür ve tehdit aktörlerinin bu çok yönlü kötü amaçlı yazılıma olan ilgisinin devam ettiğini göstermektedir.

MSI yükleyicisi, meşru bir Chrome yükleyicisi ve “C:\Program Files\Windows Defenderr” dizinine gizli bir yükleyici ve kabuk kodu bırakan kötü amaçlı bir yükleyici içerir; bu kabuk kodu, şifrelenmiş bir yükü şifresini çözmek için bir sayaç moduna sahip 16 turluk bir blok şifrelemesi kullanan kabuk kodunu yürütür.

Join our free webinar to learn about combating slow DDoS attacks, a major threat today.

Gh0stGambit olarak tanımlanan yük, aPLib kullanılarak daha fazla sıkıştırılır ve kabuk kodunun yapısı, şifre çözme betiğinden de anlaşılacağı üzere, Donut yükleyicisi kullanılarak potansiyel bir üretim yapılabileceğini gösterir.

Gh0stGambit Dropper Çok Katmanlı Bir Kaçınma Tekniği Kullanır.

Kalıcılığı başlatmak ve ana yükü yürütmek için rastgele oluşturulmuş bir GUID kullanan bir toplu iş betiği bırakır.

Damlalık, mantıksal bir sürücü ‘L:’ oluşturmak için benzersiz bir kayıt defteri düzenlemesi kullanır ve yeniden başlatma sonrası yürütme için ‘Başlangıç’ klasörüne bir aldatmaca dosyası yerleştirir.

Ayrıca, ana yük ile ilişkili yeni bir ‘.VT’ dosya uzantısı kaydederek, gerçek doğasını gizler ve güvenlik çözümleri tarafından tespit ve analizi engellemeyi amaçlarken, dropper’ın çalışmaya devam etmesini sağlar.

Dropper, Windows Defender’ın çalışıp çalışmadığını kontrol eder ve çalışıyorsa sahte bir dizini (“C:\Program Files\Windows Defenderr”) hariç tutar. Aksi takdirde, yeniden başlatmalar arasında kalıcılık sağlamak için bir betik oluşturur.

Bu araç, gizli bir konumdan ayrı bir betiği çalıştırarak, başlangıçta kötü amaçlı dosyaları (“One Drive.lnk” ve “Phone.exe”) otomatik olarak çalıştırmak için kayıt defteri girdileri oluşturur ve damlalık, adli izleri en aza indirmek için işlemde kullanılan geçici dosyaları siler.

Gh0stGambit kötü amaçlı yazılımı, “/code32” (yük) ve “/reg32” (kayıt aracı) URL’leriyle işaretlenmiş şifrelenmiş dosyaları alır ve bu dosyalar, 0x2C bayt ofsetinde sıfırlanan sabit kodlanmış 20 baytlık bir anahtarla XOR şifresi çözülür.

Shellcode, DLLToShellCode aracından kaynaklanan ve geleneksel DLL yüklemesini atlayarak, DLL’leri bellek tabanlı yürütme için yürütülebilir kabuk koduna dönüştüren “VirtualAlloc” işlevi için BKDRHash hesaplamalarını gösterdiği gibi, API işlev adları için BKDR karma değerini kullanır.

Gh0st RAT varyantı, işlem sonlandırma, dosya silme, ses ve ekran görüntüsü yakalama, komut yürütme, tuş kaydı tutma, veri sızdırma ve rootkit işlevleri gibi kapsamlı yeteneklere sahip C++ tabanlı bir uzaktan erişim truva atıdır.

Tuş vuruşlarını kaydeden bir sürücü yükler ve sistemleri tehlikeye atmak, verileri çalmak ve kalıcı bir kontrol sağlamak için çeşitli kötü amaçlı komutlar yürütür.

Kötü amaçlı yazılım, tarayıcı verilerini, anlık mesajlaşma hesaplarını ve sistem ayarlarını hedef alırken, aynı zamanda yetkisiz erişim için kullanıcı hesaplarını ve Uzak Masaüstü Hizmetlerini de manipüle ediyor.

Gh0st RAT, varlığını gizlemek, hassas verileri çalmak, kayıt defterinden etki alanı bilgilerini çıkarmak veya komuta ve kontrol için sabit kodlu yedek etki alanlarını kullanmak için bir kök araç takımı kullanan kötü amaçlı bir araçtır.

eSentire Tehdit Müdahale Birimi’ne göre, kimlik bilgilerini toplamak için Mimikatz kullanılıyor, grup ve arkadaş verilerini toplayarak QQ kullanıcılarını hedef alıyor ve Chrome tarama verilerini sızdırmak için özel bir DLL kullanıyor; bu da gözetleme ve kimlik bilgisi hırsızlığına odaklandığını gösteriyor.

Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo