Zscaler tehdidinde güvenlik araştırmacıları, Eylül 2024’te ortaya çıkan Coffeeloader adlı yeni bir gelişmiş kötü amaçlı yazılım ailesi belirlediler.
Bu gelişmiş yükleyici, ikinci aşama yükler, özellikle Rhadamanthys stealer’ı sunarken güvenlik çözümlerini atlamak ve algılamadan kaçmak için çok sayıda teknik kullanır.
Coffeeloader, GPU’yu kodu yürütmek için kullanan ve sanal ortamlarda analizi engelleyen özel bir paketleyici kullanır.
Kötü amaçlı yazılım, uç nokta güvenlik yazılımını yenmek için çağrı yığın sahtekarlığı, uyku gizleme ve Windows liflerini uygular.
Ayrıca, bir yedek iletişim kanalı olarak bir etki alanı oluşturma algoritması (DGA) kullanır ve TLS-in-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the-the Sertifika sabitleme kullanır.
Rhadamanthys Stealer: Güçlü bir tehdit
Coffeeloader tarafından verilen birincil yük, 2022’nin sonlarından beri aktif olan C ++ bilgi çalan bir kötü amaçlı yazılım olan Rhadamanthys Stealer’dır.
Rhadamanthys, web tarayıcılarından, VPN istemcilerinden, e -posta istemcileri, sohbet uygulamaları ve kripto para cüzdanlarından gelen kimlik bilgileri de dahil olmak üzere çok çeşitli hassas verileri hedefler.
Rhadamanthys ile ilgili son güncellemeler, kripto para birimi cüzdan tohum ifadelerini görüntülerden çıkarmak için optik karakter tanıma (OCR) gibi AI destekli özellikler getirmiştir.
Rapora göre, “tohum ifadesi görüntü tanıma” olarak bilinen bu özellik, kötü amaçlı yazılımların kripto para birimi kullanıcılarına yönelik tehdidini önemli ölçüde artırıyor.
Enfeksiyon zinciri ve dağılımı
Coffeeloader’ın Smokeloader aracılığıyla dağıtıldığı ve her iki kötü amaçlı yazılım ailesinin davranışsal benzerlikleri paylaştığı gözlenmiştir.
Rhadamanthys ise öncelikle AnyDesk, Zoom, Microsoft Teams ve Notepad ++ gibi meşru yazılım platformlarını taklit eden kötü amaçlı Google reklamları aracılığıyla yayılıyor.
Enfeksiyon zinciri tipik olarak üç bileşenden oluşur: damlalık, Rhadamanthys yükleyici (ikinci kabuk kodu) ve Rhadamanthys stealer (NSIS modülü).
Bu katmanlı yaklaşım, kötü amaçlı yazılımların enfeksiyon süreci boyunca gizli ve etkinliği korumasını sağlar.
Siber suçlular taktiklerini geliştirmeye devam ettikçe, Coffeeloader’ın ileri kaçırma tekniklerinin ve Rhadamanthys’in güçlü çalma yeteneklerinin kombinasyonu hem kuruluşlar ve bireyler için önemli bir tehdit sunar.
Güvenlik uzmanları, bu sofistike kötü amaçlı yazılım ailelerine karşı korumak için uyanık kalmalı ve sağlam savunma mekanizmaları uygulamalıdır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.