Tehdit aktörleri, geliştiriciler ve kullanıcılar arasında yaygın olarak kullanılan bir metin düzenleyicisi olan ve büyük bir potansiyel kurban havuzu sunan Notepad++'ı hedef alıyor.
Notepad++'daki güvenlik açıklarından yararlanmak, hassas verilere ve hatta sistemlere erişim sağlayabilir.
Bunun yanı sıra popüler yazılımların hedeflenmesi başarılı saldırıların olasılığını artırıyor ve etkiyi yoğunlaştırıyor.
Kaspersky Lab'deki siber güvenlik araştırmacıları yakın zamanda tehdit aktörlerinin kötü amaçlı Notepad++ web siteleri aracılığıyla aktif olarak geliştiricileri hedef aldığını ve onlara saldırdığını keşfetti.
Teknik Analiz
Kötü amaçlı reklamcılık, arama sonuçlarının üst kısmındaki kötü amaçlı reklamlar yoluyla kurbanları cezbeder, çünkü en iyi sonuçlar güvenilir görünür.
Geçen yıl RedLine hırsızı, Google Ads kötü amaçlı reklam kampanyası aracılığıyla yazım hatası kullanarak yayıldı.
Benzer bir tehdit artık büyük Çin arama motorlarını da etkiliyor.
Tehdit aktörleri, biri reklam bölümü aracılığıyla, diğeri sonuçların üstünde olmak üzere metin editörlerinin değiştirilmiş sürümlerini dağıtıyor.
Kötü amaçlı Notepad++ sitesi bir reklam bloğu kullanıyor.
Sitede eğlenceli tutarsızlıklar var; URL'de “vnote” belirtiliyor, başlıkta “Notepad-” (Notepad++ analogu) sunuluyor ve resimde Notepad++ gösteriliyor.
Ancak indirilenler Not Defteri içerir; bunun yanı sıra site Windows, Linux ve macOS için yükleyiciler sunar ancak yalnızca macOS ve Linux bağlantıları kötü amaçlıdır.
İndirilen uygulamalar orijinallerinden farklı olup, kötü amaçlı Linux ve macOS sürümleri benzer işlevlere sahiptir.
MacOS sürümü incelendiğinde (MD5: 00fb77b83b8ab13461ea9dd27073f54f) – çalıştırılabilir NotePad hariç DMG görüntü içeriklerinin orijinal 2.0.0 ile aynı olduğu bulunmuştur– (MD5: 6ace1e014863eee67ab1d2d17a33d146).
Başlatmadan önce, kaynak kodunda bulunmayan şüpheli bir Uplocal sınıfı başlatıldı.
İndirilen dosya mevcut olmadığından araştırmacılar analiz edemedi.
Ancak sunucunun alt etki alanı DNS'si var[.]transfer edilen kişi[.]com'a daha önce VirusTotal'a yüklenen ancak araştırma sırasında tespit edilemeyen DPysMac64 (MD5: 43447f4c2499b1ad258371adff4f503f) dosyası tarafından erişildi.
Aynı sunucu gizemli bir güncelleyici indirmesine ve DPysMac64 dosyasına ev sahipliği yapıyor; bu da güncelleyicinin DPysMac64 yüklemesine yol açtığını gösteriyor.
DPysMacM1, Apple Silicon işlemciler için DPysMac64 ile aynıdır.
Bu, Geacon referanslarının kaldırılmasına rağmen eşleşen kod/işlevlerle Go'da yazılmış, CobaltStrike benzeri bir arka kapı, açık kaynaklı Geacon uygulamasıdır.
Ayrıca normal ve hizmet başlatma modları, HTTPS üzerinden DNS'ye C2 iletişimleri vardır.[.]transfer edilen kişi[.]com.
Tehdit aktörleri, uzaktan komut yürütme işlevselliğini “boşluklar” olarak adlandırdı.
Önceki vnote hakkında emin olmasam da[.]info indirmelerinde her iki sitenin de aynı uygulamaları dağıttığı tespit edildi.
İlginç bir şekilde, değiştirilmiş NotePad çalıştırılabilir dosyasında vnotepad'e bağlanan “Hakkında” metni vardı[.]com – başka bir not[.]vnote için geçersiz sertifika verilmiş bilgi kopyası[.]vakalar arasındaki bağlantıyı doğrulayan bilgi.
Değiştirilmiş VNote düzenleyicilerinin NotePad– gibi bir sonraki enfeksiyon aşamasını sunmayı hedeflemesi yüksek bir olasılıktır. Aynı Linux/macOS uygulama değişiklikleri, macOS arka kapısını yansıtan olası bir Linux arka kapısını akla getiriyor.
IoC'ler
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.