CoinLurker, sahte güncelleme kampanyalarında devrim yaratan, gelişmiş bir veri hırsızlığı yapan kötü amaçlı yazılımdır. Go programlama dilinde yazılan CoinLurker, gelişmiş gizleme ve anti-analiz tekniklerini bir araya getirerek tespitten kaçmasına ve gizli siber saldırılar gerçekleştirmesine olanak tanır.
Morphisec’in raporuna göre yeni nesil aracı, kripto para cüzdanlarını, hassas kullanıcı verilerini ve finansal uygulamaları hedef alan tehdit aktörlerinin tercih ettiği bir silah haline geldi.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Sahte Güncelleme Kampanyaları Yoluyla CoinLurker
CoinLurker, SocGholish, ClearFake ve FakeCAPTCHA gibi daha önceki kötü amaçlı yazılım kampanyalarının aldatıcı stratejilerini temel alıyor. Bu kampanyalar, kurbanları kötü amaçlı yazılım indirmeye teşvik etmek için sahte yazılım güncelleme bildirimleri, kimlik avı e-postaları ve kötü amaçlı CAPTCHA istemleri kullanıyor.
CoinLurker, yükleri gizlemek için blockchain altyapısını kullanan bir teknik olan EtherHiding ve disk tabanlı izlemelerden kaçınarak geleneksel güvenlik savunmalarını aşan bellek içi yürütme gibi son teknoloji yöntemlerden yararlanarak bu taktikleri daha da ileriye taşıyor.
Enfeksiyon zinciri çeşitli giriş noktalarından başlatılır:
- Sahte yazılım güncellemeleri: Kötü amaçlı web siteleri, kullanıcılardan yasal yamalar gibi görünen güncellemeleri indirmelerini ister.
- Kötü amaçlı reklam yönlendirmeleri: Güvenliği ihlal edilmiş reklamlar, kullanıcıları sahte güncellemeler barındıran sitelere yönlendirir.
- Kimlik avı e-postaları: E-postalardaki bağlantılar kurbanları sahte güncelleme sayfalarına yönlendirir.
- Sosyal medya bağlantıları: Sosyal platformlarda paylaşılan kötü amaçlı bağlantılar, kullanıcıları sahte doğrulama veya güncelleme sayfalarına yönlendirir.
CoinLurker’ın Başarısını Artıran Gelişmiş Teknikler
CoinLurker, tespit edilmekten dikkatli bir şekilde kaçınan çok aşamalı bir teslimat süreci kullanır:
- Binance Akıllı Sözleşmeler: Saldırganlar, Binance Akıllı Sözleşmelerine kodlanmış yük talimatları yerleştirir ve blockchain’in kurcalamaya karşı dayanıklı depolama için merkezi olmayan özelliklerinden yararlanır.
- Komuta ve Kontrol (C2) Sunucuları: Kötü amaçlı yazılım, aktör kontrollü sunuculardan talimatları dinamik olarak getirerek algılamayı tetikleyebilecek statik göstergelerden kaçınır.
- Bitbucket Depoları: Başlangıçta zararsız yürütülebilir dosyaları barındıran bu depolar, daha sonra dosyaları kötü amaçlı sürümlerle değiştirerek Bitbucket’in güvenilir bir platform olarak itibarından yararlanır.
CoinLurker, analizi daha da karmaşık hale getirmek için Microsoft Edge Webview2’yi aşamalandırıcı olarak kullanıyor. Bu bileşen, meşru tarayıcı güncelleme araçlarını taklit eder ve grafik arayüzüyle kullanıcı etkileşimi üzerine kötü amaçlı yazılım yükünü tetikler.
CoinLurker, tespit edilmeden kalmak için çalışma zamanı dize kod çözme ve yoğun şekilde gizlenmiş enjeksiyon tekniklerini kullanır. Aşağıdaki gibi meşru süreçleri hedefler: msedge.exeYürütmeden önce birden fazla dönüşüme (örneğin, Base64 kod çözme) tabi tutulan, dinamik olarak oluşturulmuş komut satırı bağımsız değişkenleriyle örneklerin başlatılması. Yükün şifresi bellekte çözülür ve minimum statik iz kalır.
Sızma için CoinLurker, C2 sunucularıyla etkileşimde bulunmak üzere soket tabanlı iletişim kullanır. Morphisec, hassas kullanıcı verilerini toplamak için kripto para birimi cüzdanları ve finansal uygulamalarla ilişkili dizinleri sistematik olarak sıraladığını belirtti.
CoinLurker, özellikle kripto para birimi kullanıcılarına yönelik siber saldırılarda önemli bir evrimi temsil ediyor. Blockchain tabanlı gizleme ve dinamik yük dağıtımı yoluyla tespitten kaçma yeteneği, onu zorlu bir tehdit haline getiriyor.
Bu tür saldırılara karşı savunmak için:
- Antivirüs yazılımını düzenli olarak güncelleyin ve uç nokta algılama çözümlerini etkinleştirin.
- Çalışanlarınızı kimlik avı girişimlerini ve sahte güncelleme istemlerini tanıma konusunda eğitin.
- Ağ trafiğini şüpheli etkinliklere karşı izleyin ve bilinen kötü amaçlı etki alanlarını engellemek için DNS filtrelemesi uygulayın.
- Yetkisiz veri aktarımlarını tespit etmek için Veri Kaybını Önleme (DLP) sistemleri gibi gelişmiş güvenlik araçlarını kullanın.
Siber suçlular yenilik yapmaya devam ettikçe kuruluşların CoinLurker gibi tehditlerin önünde kalabilmek için proaktif önlemler alması gerekiyor. Siber güvenlik farkındalığının güçlendirilmesi ve güçlü savunma mekanizmalarının devreye alınması, bu tür gelişmiş kötü amaçlı yazılımların oluşturduğu risklerin azaltılmasında kritik adımlardır.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin