Siber güvenlik araştırmacıları tarafından “Dark Partners” olarak adlandırılan bir grup, iyi bilinen AI, VPN ve yazılım markalarını taklit eden aldatıcı web siteleri ağı aracılığıyla hem macOS hem de Windows kullanıcılarını hedefleyen sofistike bir kötü amaçlı yazılım kampanyası başlattı.
Birkaç aydır aktif olan bu operasyon, Haiper, TradingView, Windscribe ve hatta Ledger ve AAVE gibi kripto para platformları gibi hizmetleri taklit eden titizlikle hazırlanmış açılış sayfaları kullanıyor.
Çift platform saldırısı
Bu siteler, şüpheli olmayan kullanıcıları tek bir indirme düğmesi ile çekerek, kullanıcının işletim sistemine göre uyarlanmış kötü amaçlı bir yük teslimatı başlatır, macOS için Poseidon Stealer’ı veya Windows için Payday Loader’ı dağıtır, hem veri hırsızlığı hem de daha fazla kötü amaçlı yazılım yayılımı için tasarlanmıştır.
.png
)
Dark Partners kampanyası, özellikle AI içerik oluşturma alanında, popüler markalarda yer alan güvenden yararlanmaya odaklanmaktadır.
Haiper-Black gibi alanlarda barındırılan web siteleri[.]küçük fare[.]Net ve Swett-Black[.]kapalı[.]Org, bir bot kontrol ve kullanıcı veri toplama işleminden sonra kötü amaçlı yazılım sunmak için özel çerçeveler kullanın.
Kötü amaçlı yazılım kampanyası güvenilir markalardan yararlanır
İndirme düğmesini tıkladıktan sonra, site UUID, dil, tarayıcı ve işletim sistemi türü dahil kullanıcı bilgilerini yakalar, ardından MacOS (Poseidon Stealer ile gömülü) veya Windows (Payday Loader) için bir elektron tabanlı yürütülebilir dosyası sunmak için API uç noktalarından indirmeyi yönlendirir.
MacOS kurbanları için Poseidon Stealer, tarayıcı çerezleri, kripto para birimi cüzdan detayları ve kişisel dosyalar gibi hassas verileri yayarak, bunları ciltli C2 sunucularına göndermek için Applescript ile özel başlatıcılar kullanır.
Windows’ta, nuxt.js çerçevesi kullanılarak oluşturulan Payday Loader, Google Drop Links aracılığıyla C2 Server’lardan Lumma Stealer gibi ek yükler getirmeden önce, aracı ve sanal ortamları tarayarak, Ölü Damla Çözümleri Getirme Araştırmaları Gözetlemelerine Bir Damla Çözümleri Belirsiz Komut ve Kontrol Altyapı için bir taktik olarak bir taktik getirmeden önce, önleme karşıtı mekanizmaları içerir.
Daha fazla araştırma, Dark Partners’ın altyapısının panelde Cloudflare çalışanlarında barındırılan bir “avans paneli” içerdiğini ortaya koyuyor[.]Dianecarson[.]işçi[.]Dev, sahte siteleri yönetmek ve çalıntı verileri işlemek için merkezi bir platform önermektedir.
Poseidon Stealer’ın Temmuz 2024’te “Ghost0x00” takma adına bağlı bir varlık tarafından satın alınması, bu güçlü macOS kötü amaçlı yazılımlarını cephaneliğine entegre ederek önemli bir yükselişe işaret ediyor.
Kampanya ayrıca, birçok sertifikanın keşif sonrası iptal edilmesine rağmen, K.My Trading Transport Company gibi kuruluşlardan EV kod imzalama sertifikalarını Windows Güvenlik Kontrolleri ile Limited ile kötüye kullanıyor.
Kripto para birimi cüzdanı eksfiltrasyonu ve infosterers aracılığıyla kimlik bilgisi hırsızlığına odaklanan Dark Partners, yeraltı pazarlarında doğrudan denge hırsızlığı veya yeniden satış yoluyla çalınan verilerden para kazanmayı amaçlamaktadır.
Bu çift platform saldırısı, siber tehditlerin gelişen sofistike olmasının altını çizerek, bu tür bir kimliğe bürünme odaklı kötü amaçlı yazılım kampanyalarına karşı koymak için kullanıcı uyanıklığı ve sağlam uç nokta güvenliğine olan acil ihtiyacını vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| Payday Loader SHA256 | B5151E75E8E8AF1519BEF9111F2ACBB24B290F0B1F9E7BC0518E9E6EAC95F7CC |
| Poseidon Stealer SHA256 | 4924ff91e9be84960f9241130e080bb5f3cbf19f17f62e1fc15e48fb6852cd89 |
| C2 Sunucular (Poseidon) | 65.20.101.215/p2p, 199.247.14.131/p2p |
| C2 Sunucular (Payday Loader) | 140.82.54.223, 95.179.216.217 |
| Örnek Alanı | Haiper-Black[.]küçük fare[.]Net, Swett-Black[.]kapalı[.]org |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!