IBM X-Force, muhtemelen Güney Amerika’dan kaynaklanan finansal olarak motive olmuş bir tehdit grubu olan HIVE0131 tarafından düzenlenen bir dizi hedeflenen e-posta kampanyasını ortaya çıkardı.
Mayıs 2025’in başlarında gözlemlenen bu kampanyalar, Kolombiya’da, özellikle Bogota Sivil Devresi’nden resmi bildirimler olarak maskelenen Kolombiya’daki kullanıcıları hedefliyor.
Saldırılar, en az 2024’ten beri bölgede uygun fiyat ve yaygın kullanımıyla bilinen bir Hizmet Olarak Kötü Yazılım (MAAS) aracı olan kötü şöhretli bankacılık Trojan DCRAT’ı sunmayı amaçlamaktadır.
.png
)
İki aylık bir abonelik için sadece 7 USD olarak fiyatlandırılan ve 2018’den beri Rus siber suç forumlarında ağır bir şekilde pazarlanan DCRAT, hassas bankacılık kimlik bilgilerini ve diğer kişisel bilgileri çalmak için bir silah haline geldi.
HIVE0131’in Kolombiya’daki en son kimlik avı kampanyası
HIVE0131 tarafından kullanılan enfeksiyon zincirleri, sofistike ve çeşitlidir, şüphesiz kurbanları kötü niyetli yükler yürütmeye zorlarken tespitten kaçınmak için tasarlanmıştır.
Bir yöntem, gömülü Tinyurl bağlantıları içeren PDF ekleri içeren kimlik avı içerir.
Tıklandığında, bu bağlantılar, macundan ek yükleri getiren kötü amaçlı bir JavaScript dosyasını barındıran bir zip arşivine yönlendirir[.]EE Siteleri.
Bu sonunda, DCRAT’ı doğrudan belleğe dağıtan VMDetectLoader adlı Base64 kodlu bir yükleyici ile gizlenmiş bir JPG dosyasını indirmek için bir PowerShell komutu yürütür.
Başka bir vektör, toplu dosya indiricileri içeren şifre korumalı zip dosyalarına yol açan gömülü Google Dokümanlar bağlantılarına sahip e-postalar kullanır.
Bu indiriciler, Truva atını yürüterek aynı VMDetectLoader’da doruğa ulaşarak gizlenmiş VBScripts ve PowerShell komut dosyalarını alırlar.
Açık kaynaklı VMDetector projesi üzerine inşa edilen VMDetectLoader, sanal makineleri ve kum havuzu ortamlarını tespit etmek için anti-analiz özelliklerini içerir ve sadece gerçek kurban sistemlerinde çalışmasını sağlar.
DCRAT’ın kendisi, Windows’un antimal yazılım tarama arayüzünü (AMSI) atlamayı, blok listelenen süreçleri öldürmeyi ve planlanan görevler veya kayıt defteri anahtarları aracılığıyla kalıcılık oluşturmayı içeren yeteneklere sahip zorlu bir tehdittir.
Eklentileri, keyloglama, pano veri hırsızlığı, dosya şifrelemesi ve hatta kurbanları mikrofonları veya kameraları aracılığıyla kaydetme gibi kapsamlı kötü amaçlı etkinlikler sağlar.
Dağıtım yapıldıktan sonra, talimatlar almak için bir komut ve kontrol (C2) sunucusuna bağlanır ve genellikle finansal kazanç için bankacılık kimlik bilgilerini hedefler.
IBM X-Force, HIVE0131’in tipik olarak Quasarrat ve NJrat gibi diğer kötü amaçlı yazılımları konuşlandırmasına rağmen, son kampanyalarda DCRAT’a geçişin, Phishing’in yaygın bir saldırı vektörü olarak kaldığı Latin Amerika’da gelişen bir tehdit manzarasına işaret ettiğini belirtiyor.
Bölgedeki kuruluşların, e -postaları bağlantılar veya eklerle inceleyerek, süreç enjeksiyon belirtileri veya yetkisiz planlanmış görevler izleyerek ve bu tür tehditleri azaltmak için sağlam uç nokta güvenlik konfigürasyonlarının sağlanmasıyla savunmalarını desteklemeleri istenir.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Gösterge Türü | Bağlam |
|---|---|---|
| 4ce1d456fa8831733k01c4a2a32044b6581664d311b8791bb2efaa2a1d01f17 | SHA256 | Taşıyıcı dosyası |
| 1603c606d62e7794da09c51ca7f321bb550449165b4fe81153020021cbce140 | SHA256 | Dcrat |
| 0df13fd42fb4a4374981474ea87895a3830edddc7f3bd494e766cd60c4004f7 | SHA256 | Gizlenmiş .NET yükleyici |
| hxxps: // tinyurl[.]com/2ypy4jrz? id = 5541213d-0ed8-4516-82e7-5460d4ebafaf3b | Url | Gömülü PDF bağlantısı |
| hxxps: // arşiv[.]org/indir/new_abbas/new_abbas.jpg | Url | JPG İndir URL |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!