
Windows sistemlerine gizlenmiş JavaScript yüklerini dağıtmak için sahte çevrimiçi hız testi uygulamalarından yararlanan gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Bu kötü niyetli yardımcı programlar, meşru ağ hız test araçları, manuel okuyucular, PDF yardımcı programları ve çeşitli arama ön uçları olarak maskelenir, şüphesiz kullanıcıları arka planda gizli çalışan tehlikeli kodları yüklemeye kandırmak için.
Saldırı, kullanıcılar, OnlineSespeedTestService gibi tehlikeye atılmış veya kötü niyetli alanlardan fonksiyonel bir hız testi uygulaması gibi görünen şeyleri indirdiğinde başlar.[.]com.
Kurulum üzerine uygulama, reklamı yapılan işlevselliğini sunar ve aynı zamanda gizli bir node.js çalışma zamanı ortamını yoğun bir şekilde gizlenmiş JavaScript dosyalarının yanında dağıtarken yanlış bir güvenlik duygusu oluşturur.
Görünür yürütülebilir, beklendiği gibi performans gösterir ve kötü niyetli bileşenler kendilerini sistem içinde kurarken kullanıcının güvenini korur.
Güvenlik Magic analistleri, bu uygulamaların, taşınabilir bir düğüm çalışma zamanı, planlanan görev yapılandırmaları ve uygulamanın birincil işlevi için hiçbir amaca hizmet etmeyen JavaScript yükleri dahil olmak üzere kötü amaçlı bileşenlerle meşru işlevselliği demetleyen Inno-Packer yükleyicileri kullanılarak paketlendiğini belirledi.
Kötü amaçlı yazılım, ana yürütülebilir üründen bağımsız olarak çalışır, saldırı yüzeyini önemli ölçüde genişletir ve tehdit aktörlerine tehlikeye giren sistemlere kalıcı erişim sağlar.
.webp)
Enfeksiyon, kötü amaçlı JavaScript yükünü yaklaşık 12 saatte bir yürüten planlanmış görevlerle kalıcılık oluşturur.
Bu JavaScript bileşeni, komut ve kontrol sunucuları, özellikle cloud.appusagestats.com ile şifreli iletişimi korur ve uzak sunucular tarafından verilen keyfi kodu yürütme özelliğine sahiptir.
Saldırganlara iletim için makine kimlik verilerini toplamak için Windows kayıt defteri hklm \ software \ microsoft \ cryptography \ cryptography \ cryptography \ cryptography sistem bilgileri.
Gelişmiş gizleme ve komut yürütme mekanizmaları
JavaScript yükü, gerçek amacını güvenlik analizinden gizleyen sofistike şaşkınlık teknikleri kullanır.
Araştırmacılar, gizlenmiş kodun, kod çözme fonksiyonunun dönüş deyiminin yamalayarak kodlanabilen kodlanmış dizeler içerdiğini keşfettiler.
Kod çözüldüğünde, JavaScript iletişim protokolünü komut ve kontrol altyapısı ile ortaya çıkarır. Kötü amaçlı yazılım, sürüm bilgilerini, sistem tanımlayıcıları ve özellik bayraklarını içeren JSON biçimlendirilmiş verileri iletir.
Ağ iletişiminin analizi, yükün PowerShell komutlarını alabileceğini ve yürütebileceğini, araştırmacılar Windows formları düzenlemeleri aracılığıyla mesaj kutularını görüntüleyen test uygulamalarını gözlemlediklerini gösterir.
Komut yürütme mekanizması, Sistem işlemlerini ortaya çıkarmak için Node.js Child_Process modüllerini kullanır ve gizli pencere modları ve profile olmayan PowerShell yürütmeleri aracılığıyla gizli korurken kullanıcı ayrıcalıklarıyla keyfi kod yürütülmesini sağlar.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.