CopperStealer kötü amaçlı yazılımının arkasındaki tehdit aktörleri, CopperStealth ve CopperPhish adlı iki yeni veri yükü sunmak için tasarlanan Mart ve Nisan 2023’te iki yeni kampanyayla yeniden ortaya çıktı.
Trend Micro, finansal olarak motive olan grubu şu adla takip ediyor: Su Orthrus. Düşmanın, 2019’da Bitdefender tarafından detaylandırılan Scranos adlı başka bir kampanyanın da arkasında olduğu değerlendiriliyor.
En az 2021’den beri aktif olan Water Orthrus, kırık yazılım indirme sitelerine inen kurbanları CopperStealer kod adlı bir bilgi hırsızını bırakmaya yönlendirmek için yükleme başına ödeme (PPI) ağlarından yararlanma konusunda bir geçmişe sahiptir.
Ağustos 2022’de tespit edilen başka bir kampanya, yetkisiz işlemler gerçekleştirebilen ve kurbanların cüzdanlarından saldırganların kontrolündeki cüzdanlara kripto para aktarabilen Chromium tabanlı web tarayıcısı uzantılarını dağıtmak için CopperStealer’ın kullanılmasını içeriyordu.
Trend Micro tarafından belgelenen en son saldırı dizileri, CopperStealth’i Çinli yazılım paylaşım web sitelerinde ücretsiz araçlar için yükleyiciler olarak paketleyerek yayarak pek bir sapmaya işaret etmiyor.
Güvenlik araştırmacıları Jaromir Horejsi ve Joseph C Chen teknik bir raporda, “CopperStealth’in bulaşma zinciri, daha sonra yükünü explorer.exe’ye ve başka bir sistem sürecine enjekte eden bir rootkit’in indirilip yüklenmesini içerir.”
“Bu yükler, ek görevlerin indirilmesinden ve çalıştırılmasından sorumludur. Rootkit ayrıca engellenenler listesindeki kayıt defteri anahtarlarına erişimi engeller ve belirli yürütülebilir dosyaların ve sürücülerin çalışmasını engeller.”
Sürücü reddetme listesi, Huorong, Kingsoft ve Qihoo 360 gibi Çin güvenlik yazılımı şirketlerine ait bayt dizilerini içerir.
CopperStealth ayrıca uzak bir sunucuya seslenmesini ve virüslü makinede yürütülecek komutu almasını sağlayan bir görev modülü içerir ve kötü amaçlı yazılımı daha fazla yük bırakacak şekilde donatır.
Dosya Paylaşım Web Siteleri, CopperPhish Kimlik Avı Kiti için Kanal görevi görür
Nisan 2023’te dünya çapında tespit edilen CopperPhish kampanyası, ücretsiz anonim dosya paylaşım web sitelerinin arkasındaki PPI ağları aracılığıyla kötü amaçlı yazılımı dağıtmak için benzer bir süreçten yararlanıyor.
Araştırmacılar, “Ziyaretçiler, bir indirme bağlantısı gibi görünen reklamlarına tıkladıktan sonra PPI ağı tarafından tasarlanan bir indirme sayfasına yönlendirilecek” dedi. “İndirilen dosya, birçok farklı kötü amaçlı yazılımı indiren ve çalıştıran PrivateLoader’dır.”
Yine ÜFE bazında sunulan indirme hizmeti, daha sonra kredi kartı bilgilerini toplamaktan sorumlu bir kimlik avı kiti olan CopperPhish’i almak ve başlatmak için kullanılır.
Bunu, kurbanları kimliklerini doğrulamak ve bir onay girmek için bir QR kodunu taramaya teşvik eden bir kimlik avı sayfası yükleyen “bir rundll32 işlemi başlatarak ve içine bir tarayıcı penceresi (Visual Basic ile yazılmış) içeren basit bir program enjekte ederek” başarır. “cihazınızın ağını geri yüklemek” için kod.
Araştırmacılar, “Pencerenin onu küçültmek veya kapatmak için kullanılabilecek hiçbir kontrolü yok” dedi. “Kurban, Görev Yöneticisi’nde veya İşlem Gezgini’nde tarayıcının işlemini kapatabilir, ancak aynı zamanda ana yük sürecini de sonlandırmaları gerekir, aksi takdirde tarayıcı işlemi kalıcı iş parçacığı nedeniyle yeniden gerçekleşir.”
Hassas ayrıntılar sayfaya girildiğinde, CopperPhish kötü amaçlı yazılımı, kurbanın yukarıda belirtilen ekranda girebileceği bir onay kodunun yanı sıra “kimlik doğrulaması geçti” mesajını görüntüler.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Doğru onay kodunun sağlanması, kötü amaçlı yazılımın kendisini kaldırmasına ve bırakılan tüm kimlik avı dosyalarını makineden silmesine de neden olur.
Araştırmacılar, “Kimlik bilgisi doğrulama ve onay kodu, bu kimlik avı kitini daha başarılı kılan iki yararlı özelliktir, çünkü kurban pencereden kurtulmak için pencereyi öylece kapatamaz veya sahte bilgiler giremez” dedi.
Water Orthrus’a yapılan atıf, hem CopperStealth hem de CopperPhish’in CopperStealer ile benzer kaynak kodu özelliklerini paylaşması gerçeğine dayanmaktadır ve bu, üç türün de aynı yazar tarafından geliştirilmiş olabileceği olasılığını artırmaktadır.
Kampanyaların farklı hedefleri, tehdit aktörünün taktiklerinin gelişimini temsil ederek cephaneliğine yeni yetenekler ekleme ve finansal ufkunu genişletme girişimini gösteriyor.
Bulgular, kötü amaçlı Google reklamlarının, kullanıcıları Midjourney ve OpenAI’nin ChatGPT gibi yapay zeka araçları için sahte yükleyiciler indirmeye ikna etmek için kullanılmasıyla ortaya çıktı ve sonunda Vidar ve RedLine gibi hırsızları düşürdü.
Ayrıca, trafiği web sitelerine yönlendirmek ve yasa dışı para kazanma planının bir parçası olarak sahte reklam tıklamaları oluşturmak için yanlış yapılandırma kapsayıcılarından yararlanan TrafficStealer adlı yeni bir trafikten para kazanma hizmetinin keşfini takip ediyorlar.