Cyble Tehdit İstihbarat Araştırmacıları, geliştiricileri hassas verileri çalmak için bir arka kapı indirmeye kandıran bir işe alım kodlama zorluğu olarak maskelenen bir GitHub deposunu ortaya çıkardılar.
Kampanya, C&C sunucuları yerine komut ve kontrol (C&C) etkinlikleri için bir sosyal medya profili kullanmak gibi bir dizi olağandışı teknik kullanıyor.
Krili araştırma ve istihbarat laboratuvarları (CRIL) araştırmacılarının da fatura temalı yemleri bulduğu için kampanyanın geliştiriciler için sahte işe alım zorluğunun ötesine geçebileceğine dair kanıtlar var.
Sahte İşe Alma Mücadelesi Hedefler Polonya Geliştiricileri
Cyble araştırmacıları, bir blog yazısında kampanyanın Polonya konuşan geliştiricileri hedeflediğini ve kötü amaçlı yazılımların yürütmeyi kısıtlamak için coğrafi olarak kullandığını söyledi. Araştırmacılar, kampanyanın LinkedIn veya bölgesel geliştirici forumları gibi iş platformları aracılığıyla teslim edildiğini tahmin ettiler.
“Fizzbuzz” adlı sahte işe alım testi, kurbanları bir JavaScript egzersizi ve kötü niyetli bir LNK kısayolu içeren bir ISO dosyasını indirmek için kandırmak için kullanılır. Yürütüldüğünde, LNK dosyası (“Readme.lnk”) araştırmacılar tarafından “Fogdoor” adlı gizli bir arka kapı yükleyen bir PowerShell komut dosyası çalıştırır.
Cyble, “Bu arka kapı, tespitten kaçınırken kalıcılık, veri hırsızlığı ve uzaktan komut yürütme için tasarlandı” diye yazdı.
Araştırmacılar, C&C sunucularını kullanmak yerine Fogdoor, bir sosyal medya (DDR) tekniği aracılığıyla bir sosyal medya platformu ile iletişim kurarak bir sosyal medya profilinden saldırı komutlarını aldı.
Kötü amaçlı yazılım, Polonyalı kurbanlara infaz etmek için coğrafi olarak kullanılır. Etkin bir kez, “Sistematik olarak tarayıcı çerezlerini, Wi-Fi kimlik bilgilerini ve sistem verilerini çalıyor ve izleri silmeden önce bunları pessfiltrasyon için sahneliyor” dedi.
Kötü amaçlı yazılım, krom çerezleri çalmak için uzaktan hata ayıklama kullanır ve arka plan modunda çalışabilirken, Firefox kimlik bilgileri profil dizinlerinden alınır.
PowerShell Script kalıcılık oluşturur
PowerShell komut dosyası ayrıca “kullanıcıları zararsız bir dosya ile etkileşime girdiklerine inanmaya” yanlış yönlendirmek için bir “Readme.txt” dosyası açar.
Bu belge, bir kod hatası düzeltme görevi için talimatlar içeriyor, “PowerShell komut dosyasının kötü niyetli faaliyetler yürütmek için kurbanın makinesinde yalnızca bir kez yürütülmesini sağlarken zararsız görünmesini sağlıyor.”
PowerShell komut dosyası ayrıca yürütülebilir bir dosya indirir ve “C: \ Users \ public \ indirme” klasöründe “SkyWatchWeather.exe” olarak kaydeder ve indirilen dosyayı MSHTA.EXE ve VBScript kullanarak yürüten ve her iki dakikada bir süresiz olarak çalıştıracak olan planlanmış bir görev oluşturur.
SkyWatchWeather.exe, C&C altyapısı olarak bir sosyal medya platformu (Bark.LGBT) ve geçici bir Webhook hizmeti (Webhookbin.net) kullanarak arka kapı görevi görür. Konumu doğruladıktan sonra, kötü amaçlı yazılım, bir sosyal medya platformunun profil bilgilerine gömülü olan diğer komutları beklemek için “Bark.lgbt/api” ile bir bağlantı kurmaya çalışır. Bu kurulumun aynı zamanda tespit ve yayından kaldırma çabalarını daha zor hale getirdiğini söyledi.
İşe alım dolandırıcılığı ve siber saldırıları durdurmak
Araştırmacıların Fizzbuzz, Fogdoor ve benzer saldırılara karşı korunması için bir dizi öneri vardı:
- Çapraz kontrol iş teklifleri ve doğrulanmamış kaynaklardan kodlama zorlukları
- Bilinmeyen depolardan, özellikle ISO görüntüleri ve komut dosyası dosyalarından dosya indirmek ve çalıştırmaktan kaçınmak
- Açıkça gerekmedikçe PowerShell, JavaScript ve diğer komut dosyalarının yürütülmesini kısıtlamak ve uygulama beyaz liste kullanma
- Nadir alanlara veya dosya paylaşım hizmetlerine giden bağlantıların izlenmesi
- Çok faktörlü kimlik doğrulama (MFA) ve şifre yöneticileri ile tarayıcıda saklanan kimlik bilgilerini korumak.
Tam Cyble Blog, kampanyanın daha derin analizlerini içerir ve Yara ve Sigma algılama kurallarını, uzlaşma göstergelerini (IOCS) ve MITER ATT & CK tekniklerini içerir.