Cyble Research and Intelligence Labs (CRIL) tarafından yapılan son araştırma, Bytedance tarafından geliştirilen bir video düzenleme aracı olan CapCut’ın popülaritesinden yararlanan yeni bir kimlik avı kampanyasını ortaya çıkardı. Bu kampanya, Akıllı Uygulama Denetimi’ni (SAC) atlatmak ve kötü amaçlı yükler dağıtmak için JamPlus’ı kullanan karmaşık bir itibar kaçırma tekniği kullanıyor.
CapCut, video düzenleme uygulaması olarak önemli bir ivme kazanarak itibarını kötü amaçlı amaçlar için istismar etmek isteyen tehdit aktörleri (TA’lar) için cazip bir hedef haline geldi. CRIL tarafından tanımlanan son kampanya, saldırganların kullanıcıları kötü amaçlı yazılım yüklemeleri için kandırmak amacıyla CapCut indirme sayfası gibi görünen bir kimlik avı sitesini nasıl kullandığını ortaya koyuyor.
CapCut Kimlik Avı Kampanyasına Genel Bakış
Bu kampanyada, TA’lar saldırılarını gerçekleştirmek için bir yapı yardımcı programı olan JamPlus’ı kullanırlar. JamPlus ile itibar ele geçirme olarak bilinen bu teknik, geleneksel güvenlik önlemlerini atlatmak için kötü amaçlı bir paketin içine meşru bir CapCut uygulamasını yerleştirmeyi içerir. Saldırganların yaklaşımı, güvenlik kontrollerini atlatmayı ve kötü amaçlı kampanyaların etkinliğini artırmayı amaçlayan siber saldırılarda gelişen bir eğilimi vurgular.
Saldırı, tespit edilmekten kaçınmak için tasarlanmış çok aşamalı bir süreçle gerçekleşir. Bir kullanıcı, CapCut yükleyicisi gibi görünen bir kimlik avı sitesinden kötü amaçlı bir paket indirdiğinde başlar. Bu paket, meşru bir CapCut uygulaması, JamPlus derleme yardımcı programı ve kötü amaçlı bir “.lua” betiği içerir.
Kullanıcı CapCut uygulamasını çalıştırdığında, yanlışlıkla JamPlus derleme yardımcı programını tetikler. Bu yardımcı program daha sonra, uzak bir sunucudan sessizce bir toplu iş dosyasını indiren ve yürüten kötü amaçlı “.lua” betiğini yürütür. Dosyasız tekniklerin kullanımı, geleneksel güvenlik mekanizmalarından kaçınmayı ve tespit edilmeden kalmayı amaçlayan bu saldırıda önemli bir unsurdur.
JamPlus Kampanyasının Teknik Detayları
Kimlik avı sitesi, kullanıcıları bir “İndir” düğmesine tıklamaya teşvik ederek CapCut indirme sayfasının ikna edici bir görünümünü sunar. Bu eylem, “hxxps://www” gibi bir URL’den “CapCut_{rastgele sayı}_Yükleyici” adlı bir arşivin indirilmesini başlatır.[.]Dropbox’a tıklayın[.]com/scl/fi/6se0kgmo7sbngtdf8r11x/CapCut_7376550521366298640_installer.zip?rlkey=7fxladl3fdhpne6p7buz48kcl&st=pzxtrcqc&dl=1”.
Çıkarma sırasında kullanıcı, CapCut yükleyicisi gibi görünen bir dosyayla karşılaşır, ancak aslında kötü amaçlı faaliyetler için gizli dosyalarla birlikte meşru CapCut uygulamasını içerir. Bu gizli dosyalar JamPlus derleme yardımcı programını ve kötü amaçlı bir “.lua” betiğini içerir.
Varsayılan olarak, masaüstündeki CapCut kısayolu “C:\Users” konumunda bulunan CapCut uygulamasını çalıştırır.
Yanlış adlandırma nedeniyle başlangıçta yürütülemeyen bir başarısızlığa rağmen, dosyanın adını “capcut.exe” olarak değiştirmek JamPlus derleme yardımcı programını başarıyla tetikler. Bu yardımcı program daha sonra kötü amaçlı “.lua” betiğini tanımlayıp çalıştırmak üzere yapılandırılmış bir “.jam” dosyasından okur.
“.lua” betiği uzak bir sunucudan bir toplu iş dosyasını indirir ve yürütür. Bu toplu iş dosyası birkaç eylem gerçekleştirir:
- “hxxps://raw” adresinden “WindowSafety.bat” adlı bir dosyayı indirir[.]githubusercontent.com/LoneNone1807/batman/main/startup” adresini ziyaret edin ve bir sonraki sistem yeniden başlatıldığında çalışmasını sağlamak için bunu başlangıç klasörüne kaydedin.
- “hxxps://github” adresinden “Document.zip” adlı bir ZIP dosyasını indirir[.]com/LoneNone1807/batman/raw/main/Document.zip” dosyasını açın ve “C:\Users\Public\Document” klasörüne çıkarın.
- Çıkarılan klasörden “sim.py” adlı bir Python betiğini çalıştırır.
NodeStealer Yükü
Python betiği, uzak bir sunucudan base64 kodlu verileri alır ve kodunu çözer ve ortaya çıkan yükü doğrudan bellekte yürütür. Bu yük, kurbanın makinesinden oturum açma kimlik bilgileri, çerezler, kredi kartı bilgileri ve tarayıcı uzantıları ve uygulamalarından gelen veriler dahil olmak üzere çok çeşitli hassas verileri çalmak için tasarlanmış karmaşık bir kötü amaçlı yazılım olan NodeStealer’ın bir çeşididir.
NodeStealer’ın sızdırma yöntemi, çalınan bilgileri Telegram üzerinden göndermeyi içerir ve saldırıya başka bir karartma katmanı ekler. Kampanyanın kökeni Vietnam’da bulunan tehdit aktörlerine kadar uzanmaktadır.
JamPlus ile itibar gaspı tekniği izole değildir. Benzer taktikler, meşru olarak imzalanmış bir Postman uygulaması kullananlar gibi diğer kampanyalarda da gözlemlenmiştir.
Bu daha geniş örüntü, TA’ların kötü niyetli faaliyetlerini gizlemek ve güvenlik sistemlerini atlatmak için güvenilir uygulamaları ve araçları kullandıkları artan bir eğilime işaret ediyor.
Çözüm
Akıllı Uygulama Kontrolünü (SAC) aşmak için JamPlus ile itibar ele geçirme yönteminin kullanılması, saldırı stratejilerinde önemli bir ilerlemeyi temsil ediyor. Tehdit aktörleri, planlarına meşru uygulamaları ve yardımcı programları dahil ederek tespit edilmekten kaçınma ve karmaşık saldırılar gerçekleştirme yeteneklerini artırırlar.
Bu kampanyada NodeStealer’ın kullanılması, siber tehditlerin giderek artan karmaşıklığını ve siber güvenlik uzmanlarının karşılaştığı zorlukları vurguluyor.