Bilgisayar korsanları, birçok sektörde yaygın olarak kullanılan AnyDesk, Zoom, Teams ve Chrome gibi uygulamaları hedef alıyor ve silah olarak kullanıyor.
Üstelik bu kadar yaygın kullanılan uygulamalar bile pek çok kullanıcıya ve hassas bilgilere erişim imkânı sağlıyor.
Sekoia’daki siber güvenlik araştırmacıları, FakeBat adlı kötü amaçlı yazılımın yaygın olarak kullanılan AnyDesk, Zoom, Teams ve Chrome gibi uygulamaları aktif olarak silahlandırdığını tespit etti.
FakeBat Kötü Amaçlı Yazılım Yükleyici
2024 yılında FakeBat yükleyici kötü amaçlı yazılımı, yayılmak için sürücü indirme yöntemlerini kullanan büyük bir tehdit haline geldi.
Bu, karanlık web platformlarında Loader-as-a-Service olarak satılıyor ve kötü amaçlı reklamcılık ve sosyal mühendislik hileleriyle kendini gizler.
Çoğunlukla, fidye yazılımı saldırılarıyla da ilişkilendirilen botnetler ve bilgi hırsızları gibi çeşitli yükleri başlatmak için kullanılır.
Kötü amaçlı yazılımın operatörleri, güvenlik önlemlerini aşmak için MSIX formatlı yapıları ve dijital imzaları içerecek şekilde yeteneklerini güncelledi.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
FakeBat’in fiyatları pakete bağlı olarak haftada veya ayda 1.000 ila 5.000 dolar arasında değişmektedir. FakeBat, dağıtım üzerindeki kontrolü sürdürmek ve tespit risklerini azaltmak için müşteri tabanını kasıtlı olarak kısıtlar.
FakeBat’in dağıtımı, kötü amaçlı reklamcılık, yazılım taklidi ve sosyal ağlarda sosyal mühendislik gibi farklı stratejileri içeren karmaşık bir operasyona dönüştü.
Bu kötü amaçlı yazılımın dağıtılmasının bir başka yolu da tehlikeye atılmış web siteleri, sahte tarayıcı güncellemeleri ve “getmess.io” web3 sohbet uygulaması dolandırıcılığı gibi hedefli kampanyalardır.
FakeBat’in altyapısı, değişen iletişim düzenleri ve karartma tekniklerine sahip çok sayıda C2 sunucusundan oluşuyor.
Operatörler belirli alan adı adlandırma kurallarını kullanır ve sunucularını belirli ASN’lerde barındırır.
Kullanıcı özelliklerine dayalı trafik filtrelemesi uyguladılar ve yakın zamanda alan adı kayıtlarını anonimleştirerek kaçınmayı artırdılar.
Bu, Fakebat’in komplocularının genişleme sırasında tespit edilmekten kaçınmaya çalışırken ne kadar uyumlu olduklarını gösteriyor.
Araştırmacılar, aşağıdaki yazılımların FakeBat kötü amaçlı reklam kampanyaları tarafından hedef alındığını gözlemlediler:
- 1Şifre
- Gelişmiş sistem bakımı
- Herhangi birMasa
- Bandicam
- Karıştırıcı
- Braavos
- Cisco Webex
- Epik Oyunlar
- Google Chrome
- Mürekkep manzarası
- Microsoft OneNote
- Microsoft Ekipleri
- Kavram
- Not Stüdyosu
- AçıkProje
- WGT Golf oyna
- Python Shapr3D
- Todoist
- Ticaret Görünümü
- Trello
- VMware
- Webbull
- WinRAR
- Yakınlaştır
Günümüzde tehdit aktörleri kötü amaçlı yazılımları paylaşmak için sahte yazılım açılış sayfaları kullanmayı tercih ediyor ve bu da izleme kampanyaları uygulaması yoluyla yapılıyor.
Gözlemlenen diğer kümeler arasında FIN7 ve Nitrogen kampanyaları gibi farklı türde kötü amaçlı kodların yayılmasını sağlayan varlıklar yer alıyor.
Malware-as-a-Service adıyla pazarlanan ve yaygın olarak dağıtılan bir yükleyici olan FakeBat, birden fazla dağıtım yöntemi kullanıyor ve tespit edilmekten kaçınmak için sürekli olarak kendini değiştiriyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files