DEV#POPPER Yeni Sosyal Mühendislik Taktikleriyle Geliştiricilere Saldırıyor


DEV#POPPER Yeni Sosyal Mühendislik Taktikleriyle Geliştiricilere Saldırıyor

Tehdit aktörleri, mülakat yapan kişiler gibi davranarak adaylara sahte bir mülakatın parçası olarak bir ZIP dosyası (onlinestoreforhirog.zip) gönderiyor. Bu dosyada meşru dosyalar ve tespit edilmekten kaçınmak için gizlenmiş kötü amaçlı bir JavaScript dosyası (printfulRoute.js) bulunuyor.

Karıştırılmış kod, işlevselliğini gizlemek için base64 kodlaması, dinamik işlev adları ve dize birleştirme gibi teknikler kullanır. Karıştırılmanın giderilmesinden sonra, kod bir C2 adresi (http://67.203.7) ortaya çıkarır.[.]171:1244) ve kötü amaçlı görevler gerçekleştirme kabiliyeti.

DÖRT

Gizli C2 Adresi

Ana fonksiyon, veri iletimini düzenlemeden önce veri çıkarımını hedef işletim sistemine dinamik olarak uyarlar.

C2 iletişim modülleri, sistem bilgilerini, benzersiz bir ana bilgisayar tanımlayıcısını, bir zaman damgasını ve çıkarılan verileri içeren belirli bir sunucuya HTTP POST istekleri oluşturur. Bu veriler form verileri olarak biçimlendirilir ve ana bilgisayar adı, platform ve veri türü için belirli bir tanımlayıcı gibi ayrıntıları içerir.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Analiz edilen kötü amaçlı yazılım, bir URL oluşturarak ve curl kullanarak bir dosyayı geçici bir konuma indirerek bir sonraki aşama yüklerini indirmek için “rt” adlı bir işlevi kullanır.

Fonksiyon, bir sayaç belirli bir değere ulaşana veya indirilen dosya boyut gereksinimlerini karşılayana kadar indirmeyi yeniden dener.

“pay” dosyasının içindeki Python kodu

İndirilen dosya daha sonra çıkartılır ve kullanıcının ana dizinine “.npl” adlı bir Python betiği kaydedilir; bu betik, yoğun şekilde gizlenmiş kod içeren “pay” adlı başka bir Python betiğini indirir.

Deobfuscating, ayrıntılı sistem bilgilerini toplayabilen, coğrafi konumu alabilen, bir C&C sunucusuyla iletişim kurabilen, komutları yürütebilen ve tuş kaydı ve pano izleme yoluyla kullanıcı etkinliğini izleyebilen, özelliklerle dolu bir kötü amaçlı yazılımı ortaya çıkarır.

“Ödeme” dosyasının (sistem bilgilerini toplayan) gizlenmiş Python kodunun örneği

DEV#POPPER, AV tespitini atlatarak Anydesk üzerinden kalıcı enfeksiyon için RMM yeteneklerini de içerecek şekilde geliştirildi.

Kötü amaçlı yazılımların sızma yetenekleri önemli ölçüde genişledi ve FTP üzerinden ikili aktarım ve veri karartma dahil olmak üzere yinelemeli dosya arama, filtreleme ve yükleme olanağı sağlayarak veri hırsızlığı için artan otomasyon ve gizliliği ortaya koydu.

Python betiği, amacını gizlemek ve analizi engellemek için filtreleme mekanizmalarına sahip dizin geçiş işlevleri de dahil olmak üzere gelişmiş karartma teknikleri kullanır. ld, ld0, ld1 ve ld2 olarak adlandırılanlar kod anlayışını karmaşıklaştırır ve tespitten kaçınır.

Dizin gezinme işlevlerini içeren gizlenmiş Python kodu

Komut dosyası, hedefli coğrafi konum verisi toplama ve daha odaklanmış sistem bilgisi toplama gibi önceki örnekten daha gelişmiş yetenekler sergiliyor ve bu da artan karmaşıklığı ve potansiyel kötü niyetli niyeti gösteriyor.

Saldırganlar bir ana bilgisayarı ele geçirdikten sonra, bilinen bir çerez (qiè qù) betiğini (browser_cookie3) indirerek Chrome uzantılarında depolanan tarayıcı çerezlerine erişmek için bir Python arka kapısından yararlandılar ancak bağımlılık sorunları yaşadılar.

macOS tarayıcı kimlik bilgisi işlevleri

Sorun çözüldükten sonra kötü amaçlı yazılım tarayıcı verilerini ve sistem bilgilerini sızdırdı, kalp atışları gönderdi ve yürütülmek üzere C2 sunucusundan (67.203.7.171:1244) daha fazla yük indirdi.

Securonix’e göre, uzak bir sunucudan indirilen kötü amaçlı bir Python betiği, farklı işletim sistemlerindeki çeşitli web tarayıcılarından hassas bilgileri çalmak için tasarlandı.

Kötü amaçlı yazılım, hedef sistemin işletim sistemine dinamik olarak uyum sağlamak için karartma teknikleri kullanıyor ve sınıf tabanlı mimariden yararlanıyor; örneğin macOS için belirli kod modüllerini çalıştırarak Chrome, Opera ve Brave’den tarayıcı kimlik bilgilerini çıkarıyor.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link