Sofistike bir kötü amaçlı yazılım kampanyası, ücretsiz PDF düzenleme yazılımı arayan kullanıcıları hedefleyen ve siber suçlular, meşru “Appsuite PDF editörü” olarak maskelenen kötü niyetli bir uygulama dağıtıyor.
Bir Microsoft Yükleyici (MSI) dosyası olarak paketlenen kötü amaçlı yazılım, üretkenlik araçları için meşru indirme portalları olarak görünecek şekilde tasarlanmış üst düzey web siteleri aracılığıyla dağıtılmıştır.
Bu aldatıcı siteler, kötü şöhretli Justaskjacky kampanyası da dahil olmak üzere daha önce tanımlanmış Truva Dağıtım ağlarına çarpıcı benzerlikler paylaşıyor.
Bu kampanyanın arkasındaki tehdit aktörleri, kötü amaçlı yazılımlarını antivirüs şirketlerine yanlış pozitif olarak göndererek, güvenlik tespitlerinin kaldırılmasını sağlayarak benzeri görülmemiş bir cesaret gösterdi.
Başlangıçta potansiyel olarak istenmeyen bir program olarak işaretlenen uygulama, gerçek kötü niyetli niteliklerini gizlerken meşru PDF düzenleme işlevselliği sunuyor gibi görünüyordu.
Açık kaynaklı WIX araç seti kullanılarak oluşturulan yükleyici, son kullanıcı lisans sözleşmesinin yürütülmesi ve kabulü üzerine Vault.appsuites.ai’den gerçek PDF düzenleyicisi programını hemen indirir.
G veri araştırmacıları, kötü amaçlı yazılımları sofistike bir arka kapı bileşeni içeren klasik bir Truva atı olarak tanımladılar.
Analizleri, uygulamanın elektron çerçevesi üzerine inşa edildiğini ve JavaScript kullanarak platformlar arası bir masaüstü uygulaması olarak işlev görmesini sağladığını ortaya koydu.
Araştırmacılar, kötü amaçlı yazılımların, telemetrelerinde 28.000’den fazla indirme denemesi ile tek bir hafta içinde kaydedildiğini ve kampanyanın dünya çapında kullanıcılar üzerindeki kapsamlı erişimini ve potansiyel etkisini vurguladığını belirtti.
Kötü amaçlı yazılım, çeşitli arka kapı işlevlerini kontrol eden karmaşık bir komut satırı anahtarları sistemi aracılığıyla çalışır.
Belirli parametreler olmadan yürütüldüğünde, uygulama, enfekte sistemi Appsuites.ai ve sdk.appsuites.ai adresinde bulunan komut ve kontrol sunucularıyla kaydeden bir kurulum rutini başlatır.
Kayıt süreci, benzersiz bir kurulum kimliği elde edilmesini ve kötü amaçlı yazılımların tehlikeye atılan sistemde aktif kalmasını sağlayan “PDFeditorscheduledtask” ve “PDFEditoruscheduledtask” adlı sürekli planlanmış görevler oluşturulmayı içerir.
Gelişmiş kalıcılık ve komut yürütme mekanizmaları
AppSuite PDF Editör kötü amaçlı yazılımının en ilgili yönü, sofistike komut yürütme yeteneklerinde ve kalıcılık mekanizmalarında yatmaktadır.
Kötü amaçlı yazılım, geliştiricilerin dahili olarak “WC rutinleri” olarak adlandırdığı şeye dönüşen birden çok komut satırı anahtarı kullanır.
Her rutin, sistem uzlaşmasını korumada ve uzaktan kumandayı kolaylaştırmada özel bir amaca hizmet eder.
Arka kapının en tehlikeli özelliği, sunucu tarafından sağlanan komut şablonları aracılığıyla enfekte olmuş sistemlerde keyfi komutlar yürütme yeteneğidir.
Kötü amaçlı yazılım, tehdit aktörleri tarafından dinamik olarak ayarlanabilen esnek komut şablonlarını almak için SDK.AppSuites.Ai/API/S3/OPtions ile iletişim kurar.
Bu mimari, saldırganların yaklaşımlarını, her tehlikeye atılan sistemin belirli çevre ve güvenlik duruşuna göre uyarlamalarına olanak tanır.
// Command template execution mechanism
hxxps://sdk.appsuites(dot)ai/api/s3/optionsKalıcılık stratejisi, dikkatle hesaplanmış yürütme gecikmeleri ile çoklu planlanmış görevler oluşturmayı içerir.
Birincil planlanan görev, kurulumdan 1 gün, 0 saat ve 2 dakika sonra yürütülür, özellikle bu kadar uzun süreleri izlemeyen otomatik kum havuzu algılama sistemlerinden kaçınmak için tasarlanmıştır.
.webp)
Ek olarak, kötü amaçlı yazılım, dalga, kaydırma, oneLaunch, krom ve kenar gibi popüler tarayıcıları hedefler, şifreleme anahtarlarını çıkarma ve kullanıcı verilerine ve kimlik bilgilerine uzun vadeli erişimi korumak için tarayıcı tercihlerini manipüle eder.
.webp)
Kötü amaçlı yazılımların iletişim protokolü, komut ve kontrol sunucuları ile güvenli veri iletimi için AES-128-CBC ve AES-256-CBC şifrelemesini kullanır ve ağ tabanlı algılamayı geleneksel güvenlik çözümleri için önemli ölçüde daha zorlaştırır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.