2024’ün ilk yarısında, EugenLoader veya PaykLoader olarak da bilinen FakeBat yükleyici, drive-by indirme tekniğini kullanan belirgin bir tehdit olarak ortaya çıktı. Bu yöntem, siber suçlular tarafından, şüphesiz kullanıcıların web tarama faaliyetleri aracılığıyla kötü amaçlı yazılım yaymak için giderek daha fazla benimseniyor.
Drive-by indirmeleri, SEO zehirlenmesi, kötü amaçlı reklamcılık ve tehlikeye atılmış web sitelerine kötü amaçlı kod enjekte etme gibi teknikleri içerir. Bu yöntemler kullanıcıları sahte yazılım veya güncellemeler indirmeye, yükleyiciler (örneğin, FakeBat, BatLoader), botnetler (örneğin, IcedID, PikaBot) ve daha fazlası gibi kötü amaçlı yazılımları istemeden yüklemeye kandırır.
FakeBat Yükleyici Kampanyaları
FakeBat, IcedID, Lumma, Redline ve diğerleri gibi sonraki yükleri indirme ve yürütme konusunda uzmanlaşmıştır. Bir Malware-as-a-Service (MaaS) olarak çalışır ve yük dağıtımını, kurulum izlemeyi ve Google’ın İstenmeyen Yazılım Politikası ve Windows Defender uyarıları gibi algılama mekanizmalarından kaçınmayı yönetmek için bir yönetim paneli sunar.
2024 boyunca, Sekoia Threat Detection & Research (TDR) birden fazla FakeBat dağıtım kampanyası tespit etti. Bu FakeBat yükleyici kampanyaları, kullanıcıları meşru yazılım kılığında FakeBat indirmeye çekmek için popüler yazılım indirme sayfalarını taklit eden sahte web siteleri de dahil olmak üzere çeşitli taktikler kullanır.
Sekoia.io, “FakeBat yönetim paneli, IP adresi, ülke, işletim sistemi, web tarayıcısı, taklit edilen yazılım ve kurulum durumu dahil olmak üzere enfekte olmuş ana bilgisayara ilişkin bilgileri içerir. Müşteriler ayrıca her bot için yorum yazabilir” diyor.
Bu kampanyanın arkasındaki tehdit aktörü, kullanıcıları kötü amaçlı yükleyicilerle tarayıcılarını güncellemeye yönlendiren kod enjekte etmek için web sitelerini tehlikeye atmak amacıyla sahte web tarayıcısı güncellemeleri de kullanır. Sosyal mühendislik, bilgisayar korsanlarının web3 gibi toplulukları sahte uygulamalarla hedef alabilmesi ve FakeBat’ı dağıtmak için sosyal medya platformlarını kullanabilmesi nedeniyle endişe verici bir başka tehdittir.
Sekoia analistleri FakeBat’in Komuta ve Kontrol (C2) altyapısını titizlikle takip etti. Ağustos 2023’ten Haziran 2024’e kadar olan dönemde, FakeBat yüklerini barındıran birkaç C2 sunucusunu tespit ettiler ve operasyonel taktiklerinde değişiklikler gözlemlediler. Bu sunucular genellikle trafiği Kullanıcı Aracısı değerlerine ve IP adreslerine göre filtrelemek gibi tespitten kaçınmak için taktikler kullanır.
FakeBat Loader’ın Özellikleri ve Yetenekleri
2024’te önde gelen bir lider olan FakeBat, meşru yazılım sitelerini taklit etme ve enjekte edilen kötü amaçlı kodla web sitelerini tehlikeye atma gibi çeşitli dağıtım yöntemleri kullanır. Sekoia, FakeBat’in komuta ve kontrol (C2) sunucularıyla ilişkili 0212top dahil olmak üzere etki alanlarını tanımladı[.]çevrimiçi, 3010cars[.]üst ve 756-reklam-bilgisi[.]site, genellikle belirsiz veya yanıltıcı mülkiyet bilgileri altında kayıtlıdır.
Bu alanlar, kötü amaçlı yazılımın dağıtımını kolaylaştırarak, onun uyarlanabilirliğini ve siber tehditlerin gelişen doğasını vurgular. FakeBat, sahte yazılım güncellemeleri gibi taktiklerle yayılır ve Sekoia, AnyDesk ve Google Chrome gibi uygulamaları hedef alan örnekleri ortaya çıkarır. Kullanıcılar, yükleyicinin sistemlere sızmak için kullandığı aldatıcı taktikleri gösteren meşru güncellemeler kisvesi altında kötü amaçlı yazılımları indirmeye yönlendirilir.
Drive-by indirme saldırılarında önemli bir oyuncu olan FakeBat’in çeşitli dağıtım stratejileri, tespit edilmekten kaçınma ve güvenlik açıklarını istismar etme yeteneğini vurguluyor.