Sekoia’nın bulgularına göre, FakeBat olarak bilinen yükleyici-hizmet (LaaS) bu yıl drive-by indirme tekniği kullanılarak dağıtılan en yaygın yükleyici kötü amaçlı yazılım ailelerinden biri haline geldi.
Şirket Salı günü yaptığı analizde, “FakeBat öncelikle IcedID, Lumma, RedLine, SmokeLoader, SectopRAT ve Ursnif gibi bir sonraki aşama yükünü indirip çalıştırmayı hedefliyor” dedi.
Drive-by saldırıları, kullanıcıları sahte yazılım yükleyicileri veya tarayıcı güncellemelerini indirmeye teşvik etmek için arama motoru optimizasyonu (SEO) zehirleme, kötü amaçlı reklamlar ve tehlikeye atılmış sitelere kötü amaçlı kod enjeksiyonları gibi yöntemlerin kullanılmasını içerir.
Son birkaç yıldır kötü amaçlı yazılım yükleyicilerinin kullanımı, meşru yazılım web sitelerini meşru yükleyiciler olarak göstererek taklit eden açılış sayfalarının artan kullanımıyla örtüşmektedir. Bu, kimlik avı ve sosyal mühendisliğin tehdit aktörlerinin ilk erişimi elde etmek için başlıca yollarından biri olmaya devam ettiği daha geniş bir bakış açısıyla bağlantılıdır.
EugenLoader ve PaykLoader olarak da bilinen FakeBat, en azından Aralık 2022’den bu yana Eugenfest (diğer adıyla Payk_34) adlı Rusça konuşan bir tehdit aktörü tarafından yeraltı forumlarında bir LaaS abonelik modeli altında diğer siber suçlulara sunuluyor.
Yükleyici, güvenlik mekanizmalarını atlatmak için tasarlanmıştır ve müşterilere, meşru yazılımları truva atı haline getirmek için şablonlar kullanarak yapılar oluşturma ve bir yönetim paneli aracılığıyla zaman içinde kurulumları izleme seçenekleri sunar.
Daha önceki sürümlerde kötü amaçlı yazılım yapıları için MSI formatı kullanılırken, Eylül 2023’ten bu yana gözlemlenen son yinelemelerde MSIX formatına geçildi ve Microsoft SmartScreen korumalarını atlatmak için yükleyiciye geçerli bir sertifika içeren dijital bir imza eklendi.
Bu kötü amaçlı yazılımın MSI formatı için haftalık 1.000 dolar ve aylık 2.500 dolar, MSIX formatı için haftalık 1.500 dolar ve aylık 4.000 dolar, MSI ve imza paketinin birleşimi için ise haftalık 1.800 dolar ve aylık 5.000 dolar gibi bir fiyat etiketi bulunuyor.
Sekoia, FakeBat’i üç temel yaklaşımla yayan farklı etkinlik kümelerini tespit ettiğini söyledi: Kötü amaçlı Google reklamları aracılığıyla popüler yazılımları taklit etme, tehlikeye atılmış siteler aracılığıyla sahte web tarayıcısı güncellemeleri ve sosyal ağlarda sosyal mühendislik planları. Bu, muhtemelen FIN7 grubu, Nitrogen ve BATLOADER ile ilgili kampanyaları kapsar.
“FakeBat, yükleri barındırmanın yanı sıra [command-and-control] Sekoia, “Sunucular büyük ihtimalle trafiği Kullanıcı Aracısı değeri, IP adresi ve konum gibi özelliklere göre filtreliyor” dedi. “Bu, kötü amaçlı yazılımın belirli hedeflere dağıtılmasını sağlıyor.”
Açıklama, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), fatura temalı kimlik avı e-postaları aracılığıyla DBatLoader (diğer adıyla ModiLoader ve NatsoLoader) adlı başka bir yükleyiciyi dağıtan bir kötü amaçlı yazılım kampanyasını ayrıntılarıyla açıklamasının ardından geldi.
Ayrıca korsan film indirme siteleri aracılığıyla Hijack Loader’ı (diğer adıyla DOILoader ve IDAT Loader) yayarak Lumma bilgi hırsızını ileten enfeksiyon zincirlerinin keşfini de takip ediyor.
Kroll araştırmacısı Dave Truman, “Bu IDATLOADER kampanyası, kodun kötü amaçlılığını daha da gizlemek için yenilikçi hilelerin yanı sıra doğrudan kod tabanlı karartmanın birden fazla katmanını içeren karmaşık bir enfeksiyon zinciri kullanıyor” dedi.
“Enfeksiyon, özel olarak hazırlanmış bir dosyanın derinliklerine gömülmüş kodu PGP Gizli Anahtarı olarak gizlemek için Microsoft’un mshta.exe’sini kullanmakla ilgiliydi. Kampanya, kötü amaçlı kodun tespit edilmesini engellemek için yaygın tekniklerin yeni uyarlamalarını ve yoğun karartmayı kullandı.”
Kimlik avı kampanyalarının ayrıca Remcos RAT’ı sağladığı ve Unfurling Hemlock adı verilen yeni bir Doğu Avrupa tehdit aktörü tarafından yükleyiciler ve e-postalar kullanılarak farklı kötü amaçlı yazılım türlerinin aynı anda yayılması için “küme bombası” görevi gören ikili dosyalar bırakıldığı gözlemlendi.
Outpost24 araştırmacısı Hector Garcia, “Bu teknik kullanılarak dağıtılan kötü amaçlı yazılımların çoğu RedLine, RisePro ve Mystic Stealer gibi hırsızlar ve Amadey ve SmokeLoader gibi yükleyicilerden oluşuyor” dedi.
“İlk aşamaların çoğunun farklı şirketlere e-posta yoluyla gönderildiği veya harici yükleyiciler tarafından temas kurulan harici sitelerden bırakıldığı tespit edildi.”