CloudSek’in Güvenlik Araştırma Ekibi, kötü niyetli çevrimiçi PDF dönüştürücülerden yararlanan sofistike bir siber saldırı, küresel bireyleri ve kuruluşları hedeflediği gösterilmiştir.
Daha önce FBI’ın Denver Saha Ofisi tarafından ima edilen bu saldırı, zararlı Sectoprat bilgi çalma ailesinin bir çeşidi olan Aleechclient2 olarak bilinen güçlü kötü amaçlı yazılımların dağılımını içeriyor.
Aldatma açıklandı
Saldırganlar ustaca hazırlanmış sahte web siteleri, Candyxpdf[.]com ve candyconverterpdf[.]Com, ARECL, meşru bir PDF dönüşüm hizmeti olan PDFCandy.com’un kullanıcı deneyimine şaşırtıcı bir şekilde benzer.
.png
)
Bu aldatıcı platformlar, PDF dosyalarını DOCX biçimine dönüştürme vaadiyle kullanıcıları cezbetir.
Bununla birlikte, bu vaat, bir saldırı vektörü başlatması gereken ortak dosya dönüşümünden yararlanmak için bir yem görevi görür:
- Görsel aldatma: Sahte siteler, pdfcandy.com’un markalaşmasını, logosunu ve genel tasarımını çoğaltarak, şüphesiz kullanıcılar için güvenilir görünmelerini sağlıyor.
- Kullanıcı etkileşimi: Bir kullanıcı dosya dönüştürme ile devam ettikten sonra, bir dizi manipüle etkileşim başlatılır:
- Simüle edilmiş işleme: Dosya işlemeyi taklit eden bir dizi kullanıcılara sitenin işlevselliğinin güvence altına alınır.
- Sahte captcha: Ani bir Captcha doğrulama istemi, sadece siteyi meşrulaştırmak için değil, aynı zamanda kullanıcı eylemlerini hızlandırarak saldırıyı hızlandırmak için tasarlanmıştır.
- Powershell infaz: Kullanıcılar, siber saldırının zincirindeki linchpin olan bir PowerShell komutunu çalıştırmak için kandırılır.
Teknik manipülasyon
Aldatıcı süreç, “Adobe.zip” in indirmesiyle sonuçlanır. bind-new-connect[.]clickArechclient2 kötü amaçlı yazılımları dağıtmak için kötü şöhretli bir alan.
IP adresinde barındırılan yük 172[.]86[.]115[.]43, yürütülebilir bir “Audiobit ile“ ses bandı ”klasörüne genişleyen bir arşiv içerir[.]exe”.
Rapora göre, bu yürütme çok aşamalı bir saldırıyı tetikliyor. cmd[.]exe Ve MSBuild[.]exe Bilgi Stealer’ı gizlice yüklemek için.
Bu gelişmiş tehditlere karşı savunmak için aşağıdakileri göz önünde bulundurun:
| Kategori | Aksiyon |
|---|---|
| Doğrulanmış araçlara güven | “Ücretsiz dönüştürücüler” aramak yerine her zaman resmi web sitelerinden dosya dönüştürme araçlarını kullanın. |
| Teknik önlemler | 1. |
| 2. Son nokta algılama ve yanıt (EDR) çözümlerini uygulayın. | |
| 3. Bilinen kötü amaçlı alanları engellemek için DNS düzeyinde filtreler kullanın. | |
| 4. Sadece uzantıları incelemenin ötesinde dosya bütünlüğünü kontrol edin. | |
| Kullanıcı eğitimi | Kullanıcıları PowerShell yürütme istekleri veya küçük URL varyasyonları gibi kırmızı bayrakları tespit etmek için eğitin. |
| Uzlaşmaya yanıt | 1. Potansiyel olarak tehlikeye atılan herhangi bir cihazı hemen izole edin. |
| 2. Tüm şifreleri güvenli, işgal edilmemiş bir cihaz kullanarak değiştirin. | |
| 3. Finansal kurumları uyarın ve olayı ilgili makamlara bildirin. |
Kötü niyetli PDF dönüştürücü şeması üzerindeki bu ayrıntılı ortaya çıkma, bugünün siber saldırganlarının karmaşıklığını vurgulamaktadır.
Uyanıklığı koruyarak, sağlam güvenlik önlemleri kullanarak ve bilgilendirilmiş bir kullanıcı tabanını teşvik ederek, bu tür karmaşık siber tehditlere mağdur olma riskini önemli ölçüde azaltabilir.
Uzlaşma Göstergeleri (IOC)
| IOC | Tanım |
|---|---|
| Candyxpdf[.]com | Kötü niyetli alan |
| CandyConverterpdf[.]com | Başka bir kötü niyetli alan |
| Bind-New-Connect[.]tıklamak | Bilinen kötü amaçlı yazılım distribütörü |
| 172[.]86[.]115[.]43 | Kötü niyetli IP barındırma “Adobe.zip” |
| “Adobe[.]Zip “ | Kötü amaçlı yük arşivi |
| “Audiobit[.]exe” | “Adobe.zip” içinde kötü amaçlı yürütülebilir |
| 72642E429546E5AB207633D3C6A7E2E70698EF65 | “Adobe.zip” için karma |
| 51de0b104e9ced3028a41d01dedf735809eb7f6088621027c7f00f0fcf9c834 | “Audiobit[.]exe” |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!