Yeni keşfedilen bir arka kapı ve kimlik bilgisi hırsızı, şirket çalışanlarını kötü amaçlı yazılım indirmeye teşvik etmek için ayrıntılı bir kampanyanın parçası olarak meşru bir yazılım indirmesi numarası yapıyor.
Elastic Software’den araştırmacılar, LOBSHOT olarak adlandırılan kötü amaçlı yazılımın, yakın tarihli bir blog gönderisinde AnyDesk gibi popüler uzaktan çalışma uygulamaları için kötü amaçlı Google Ads aracılığıyla yayıldığını gözlemlediler.
Elastic Software’den Daniel Stepanic gönderide, “Saldırganlar, kötü amaçlı yazılımlarını Google Ads aracılığıyla ayrıntılı bir sahte web siteleri planı kullanarak ve kullanıcılara yasal yükleyiciler olarak görünen arka kapıları yerleştirerek tanıttı.”
Araştırmacılar ayrıca, Clop fidye yazılımını yaymasıyla tanınan tehdit grubu TA505’in, finansal amaçlarla görünen bir arka kapı olan LOBSHOT’un arkasında olduğu, bankacılık, kripto ve diğer kimlik bilgilerini ve kurbanlardan gelen verileri çaldığı görülüyor. LOBSHOT’u yaymak için kullanılan sahte indirme sitesi, download-cdn’den bir DLL yürüttü[.]Dridex, Locky ve Necurs kampanyalarındaki rolüyle de bilinen, tarihsel olarak tehdit grubuyla ilişkilendirilen bir alan adı olan com.
Stepanic, kampanyada kullanılan TA505’e bağlı diğer altyapıya dayanarak, araştırmacıların LOBSHOT’un grup tarafından kullanılan yeni bir kötü amaçlı yazılım yeteneği olduğunu “orta düzeyde güvenle değerlendirdiğini” yazdı. Dahası, araştırmacılar her hafta bu aile ile ilgili yeni örnekler görüyorlar ve “bir süre ortalıkta dolaşmasını bekliyoruz” diye yazdı.
Kötü Amaçlı Google Reklamlarından Yararlanma
Yılın başlarında gözlemlenen benzer tehdit kampanyalarında olduğu gibi, potansiyel kurbanlar, AnyDesk gibi yasal iş gücü yazılımları için olduğu iddia edilen Google Ads’e tıklayarak LOBSHOT’a maruz kalıyor. Bu taktik, Ocak ayında, AnyDesk ve Zoom gibi popüler uzaktan çalışma yazılımları için indirme siteleri gibi görünen Google Ads’den gelen web sitesi yönlendirmeleri aracılığıyla hizmet olarak kötü amaçlı yazılım Rhadamanthys Stealer’ın yayıldığı gözlemlenene benzer.
Aslında, Elastic Search’e göre, güvenlik araştırmacılarının bu yılın başlarından beri gözlemlediği, kampanyalar, kötü amaçlı reklamcılığın benimsenmesindeki “büyük bir artışla” bağlantılı.
Stepanic, “Güvenlik topluluğunda, meşru yazılım indirmeleri arayan kullanıcıların ortak noktalarıyla benzer enfeksiyon zincirleri gözlemlendi ve bunun sonucunda Google’ın tanıtılan reklamlarından meşru olmayan yazılımlar sunuldu.”
Faaliyet, rakiplerin “meşru yazılım kimliğine bürünerek Google Ads gibi kötü amaçlı reklamcılık yoluyla” erişimlerini kötüye kullanma ve artırma konusundaki ısrar eğilimini yansıtıyor” dedi.
Stepanic, bu tür kötü amaçlı yazılımların önemsiz görünebileceğini ve sınırlı erişime sahip olabileceğini, ancak tehdit aktörlerinin kurumsal ağlara ilk erişim elde etmelerine ve diğer kötü amaçlı faaliyetlerde bulunmalarına yardımcı olmak için “tamamen etkileşimli uzaktan kontrol yetenekleri” yoluyla büyük bir etki yarattıklarını kabul etti.
LOBSHOT Enfeksiyon Zinciri
LOBSHOT bulaşma zinciri, birisi, Google Ads’in aslında kötü amaçlı bir site olan tanıtılan bir sonuç sağladığı meşru bir yazılım için İnternet’te arama yaptığında başlar.
“İçinde gözlemlenen bir örnekkötü amaçlı reklam yasal bir uzak masaüstü çözümü olan AnyDesk içindi,” diye açıkladı Stepanic. “URL’nin dikkatli bir şekilde incelenmesi https://www.amydecke adresine gider.[.]yasal AnyDesk URL’si yerine web sitesi, https://www.anydesk[.]com.”
Bu reklama tıklamak, kullanıcıyı, aradığı yazılımı indirmek için meşru görünen bir açılış sayfasına yönlendirir. Ancak araştırmacılar, aslında bir kez indirildiğinde kullanıcının bilgisayarında çalışan bir MSI yükleyicisi olduğunu söyledi.
Stepanic, “Açılış sayfaları, meşru yazılımla benzer bir markaya sahip ve bir MSI yükleyicisine işaret eden Şimdi İndir düğmelerini içeren çok ikna ediciydi” diye yazdı.
Elastic Software’e göre MSI daha sonra rundll32 aracılığıyla LOBSHOT’u indiren ve saldırganın sahip olduğu komut ve kontrol sunucusuyla iletişimi başlatan bir PowerShell başlatır.
Kaçınma ve Azaltma
Stepanic, LOBSHOT’un temel yeteneklerinden birinin, “makineye doğrudan ve gözlemlenmemiş erişime” izin veren ve saldırganlar tarafından tespit edilmekten kaçınmanın bir yolu olarak kullanılan bir modül olan hVNC (Gizli Sanal Ağ Bilgi İşlem) bileşeni çevresinde olduğunu belirtti.
“Bu özellik, dolandırıcılık tespit sistemlerini atlamada başarılı olmaya devam ediyor ve çoğu zaman birçok popüler ailede eklenti olarak kullanılıyor” diye yazdı.
Araştırmacılar, şu anda kullanılan çoğu kötü amaçlı yazılım gibi, LOBSHOT’un da güvenlik ürünlerinden kaçınmak ve yeteneklerinin hızlı bir şekilde tanımlanmasını yavaşlatmak için dinamik içe aktarma çözünürlüğü kullandığını söyledi.
Stepanic, “Bu süreç, içe aktarmaları programa önceden yerleştirmek yerine, kötü amaçlı yazılımın çalışma zamanında ihtiyaç duyduğu Windows API’lerinin adlarının çözümlenmesini içerir.”
Araştırmacılar, Şüpheli Windows Gezgini Yürütme, Şüpheli Ebeveyn-Çocuk İlişkisi ve Windows.Trojan.Lobshot dahil olmak üzere çeşitli işlemleriyle ilgili LOBSHOT gibi kötü amaçlı yazılımlardan ödün vermemek için önleme taktiklerini gösteren çeşitli Elastic Search GitHub sayfalarına bağlantılar ekledi.
Gönderi ayrıca, kuruluşların, araştırmacıların LOBSHOT’un yürüttüğünü gözlemlediği büyük ebeveyn, ebeveyn ve çocuk ilişkileriyle ilgili benzer şüpheli davranışları avlamak için EQL sorguları oluşturmak için kullanabilecekleri yönergeleri de içerir.