Kimlik avı kampanyası Ukrayna’da kötü niyetli SVG eklerini loblar

Sahte bir gönderenden sahte e -posta uyarısı, alıcıları iddia edilen bir “elektronik istek” açmaya yönlendirmek için tasarlanmıştır – elektronni_zapit_NPU.svg – Ukrayna Ulusal Polisi’nden, Siber Güvenlik Fortinet diyor.

Mesaj, alıcıların bildirimi görmezden gelmesinin daha fazla yasal işlem yapabileceğini söylüyor. “Metin jenerik ama alıcıları eki açmaya baskı yapmak için resmi, yasal sesli bir dil kullanıyor.”

Kimlik avı kampanyası, Ukraynalı hükümet e -posta muhasebe alıcılarını, kullanıcıyı bir kurbanın pencere sistemlerini pureminer adı verilen bir kripto madencisi ve Amatera Dışarıcı adı verilen bir infostenerer ile enfekte eden bir indirme sayfasına yönlendiren ikinci bir SVG dosyası yüklemek için tasarlanmış bir kötü amaçlı ölçeklenebilir vektör grafik dosyasını yürütmeyi kandırmayı amaçlamaktadır.

Ölçeklenebilir vektör grafik dosyaları – genellikle bir .svg Dosya Uzantısı – Büyük tarayıcılarda ve grafik düzenleme programlarında açılabilen matematiksel formülleri kullanarak iki boyutlu grafikler oluşturmak için XML talimatları içeren metin dosyalarıdır.

Bu durumda, araştırmacılar ikinci kötü amaçlı SVG dosyasının, kullanıcıları Ukrayna’da belirten sahte bir Adobe okuyucu penceresine sahip bir siteye yönlendirdiğini söyledi: “Lütfen bekleyin, belgeniz yükleniyor.” Site, derlenmiş bir HTML Yardımı içeren şifre korumalı bir zip arşivi indirme – .chm – Dosya ve arşivi ekranda açmak için şifreyi görüntüler. Yürütüldükten sonra, CHM dosyası bir HTML uygulaması kullanarak birden fazla eylemi tetikler – .hta – Bir kurbanın sistemine bir veya daha fazla ftevilsiz kötü amaçlı yazılım parçası dağıtan ve yürüten CountLoader.

Geleneksel olmayan dosya türü uyarısı

Kampanya, suçluların kimlik avı saldırılarında geleneksel olmayan dosya formatlarında ikiye katlandıklarını hatırlatıyor. Yönetilen algılama ve müdahale firması OnTinue’nin bir raporu, bu yılın ilk yarısında, saldırganların SVG dosyalarını kimlik avı kampanyalarının bir parçası olarak%40 oranında artırdığını ve çoğu durumda Tycoon1FA kimlik avı kitini kullanan saldırganlara bağlı olduğunu söylüyor. “SVG’ler, e -posta istemcileri veya tarayıcılar tarafından yerel olarak önizlenebilir ve en az kullanıcı etkileşimi ile yürütmeyi tetikleyebilir.” Dedi.

Bu yılın ilk yarısında, e-posta ağ geçidi güvenlik kontrollerini atlayan eklerin% 70’inden fazlası, SVG veya IMG dosyaları gibi geleneksel olmayan dosya türlerini içeriyor “Office makroları veya yürütülebilir yükler savunucularının bekleyebileceği” dedi. “Saldırganlar bu formatları, kurbanları doğrudan ortada düşman alanlarına yönlendiren komut dosyalarını veya yönlendirmeleri, hem kimlik bilgilerini hem de jetonları tek bir adımda hasat etmek için kullanıyorlar.”

Browser güvenlik firması Menlo Security’nin baş güvenlik mimarı Lionel Litty, güvenlik sistemleri SVG dosyalarını yalnızca resimler yerine HTML’ye benzer şekilde “aktif içerik” olarak ele almalıdır. “Belgeler olarak yorumlandığında, JavaScript içerebilir ve bir HTML belgesi ile aynı eylemlerin çoğunu gerçekleştirebilirler” dedi. “Bu, ağ istekleri yapmayı, kullanıcı girişini kabul etmeyi, seatobject aracılığıyla ek içerik yüklemeyi ve burada gördüğümüz gibi dosya indirmelerini tetiklemeyi içerir.”

Kötü Yazılım Dağıtım

Fortinet’teki araştırmacılar, Ukraynalıları hedefleyen kimlik avı kampanyalarını siber suçlu veya ulus devlet olsun, herhangi bir gruba atfetmediler. Kremlin istihbarat teşkilatları, özellikle bir href = “https://www.bankinfosecurity.in/russian-hackers-ncrease-tacks-on-on-ukraines-ukrayna hedeflerine karşı Avrupa komşusuna karşı bir savaş sürdürmeye devam ettikçe.

Fortinet, yükleyicinin Amatera Stealer ve Pureminer’ı “Saldırgan’ın konfigürasyonuna bağlı olarak CPU tabanlı veya GPU tabanlı madencilik modüllerini kullanabilecek” gizli bir .NET kripto madencisi olan Amatera Stealer ve Pureminer’ı teslim ettiğini söyledi. Kampanyanın daha yeni bir versiyonu sadece Amatera Stealer’ı “teslimat aşamasında daha güçlü gizleme teknikleri” eşliğinde teslim etti.

Amatera Stealer için bir yıl ortası reklamı, Abonelik Fiyatlarını ayda 199 $ ‘dan başlayan ve Telegram tabanlı teknik desteği içeren bir yıllık plan için 1.499 $’ a kadar listeliyor.

Stealer, Firefox gibi Gecko tabanlı uygulamalar için depolanmış kimlik bilgileri ve çerezler de dahil olmak üzere hassas dosyalara erişme yeteneğini içerir. Stealer, çok sayıda masaüstü cüzdanı için erişim kodlarının yanı sıra bir dizi başka sistem ve uygulama verisi almak için tasarlanmıştır. Amatera Stealer, bu yılın başlarında, hizmet olarak kötü amaçlı yazılım teklifi olarak sağlanan “önemli” yeni teslimat, kontrol ve anti-analiz özellikleri ile ortaya çıkan ACR stealer’ın yeniden markasıdır.

Tehdit istihbarat firması Sekoia geçen yıl ACR stealer’ın GRMSK Stealer’ın yeni, güncellenmiş bir sürümü gibi göründüğünü bildirdi, bu da C ++ ‘da sadece yaklaşık 350 kilobaytlık bir dosya boyutu ile yazılmış kötü amaçlı yazılımlar. Stealer, en az 2022’den beri aktif olan “Sheldio” kullanıcısı olan bir kullanıcı tarafından Rusça dili siber suç forumlarında, “daha önce Acridrain Stealer, ROCA Loader ve başka bir isimsiz özel infostealer satan, GRMSK stealer’a bağladığımız sınırlı sayıda bağlı kuruluş için kullanılabilir” dedi.

Birçok infosterer, kodu geliştiren ve koruyan operatörler ve enfekte sistemlerle etkileşim için bir kontrol paneli olarak sağlanır. Çalınan veriler, enfekte olmuş her sistem için bir “günlük” e eşleştirilir. Kullanıcılar, kurbanları enfekte etmek ve çalınan verileri almak için kullandıkları kötü niyetli yürütülebilir dosyaları indirebilecekleri bir portala erişirler.

Çalınan günlük verilerini satmak kazançlıdır, çünkü bir kurbanın ağına kullanıma hazır başlangıç ​​erişimini sağlar.

Birçok MaaS teklifi, operatörlerin çalınan tüm verilere ilk bakışını elde ettiğini, uzmanların kendileri için kripto para birimi cüzdan kimlik bilgileri gibi en değerli teklifleri koruyacağını söylüyor.

Kolluk kuvvetleri, Lumma’nın Mayıs hedeflemesi de dahil olmak üzere infostealer operasyonlarını bozdu, ancak bu tür aksamalar genellikle kaçıyor.