Steam oyun platformundaki gereksiz dosyaları temizlemek için tasarlanmış meşru bir açık kaynaklı yardımcı program olan SteamCleaner’ın silahlı bir sürümü aracılığıyla Windows kullanıcılarını hedef alan karmaşık bir arka kapı kötü amaçlı yazılım kampanyası ortaya çıktı.
Kötü amaçlı yazılım, komuta ve kontrol sunucularıyla sürekli iletişimi sürdüren kötü amaçlı Node.js komut dosyalarını dağıtarak güvenliği ihlal edilmiş sistemlere kalıcı erişim sağlar ve saldırganların uzaktan rastgele komutlar yürütmesine olanak tanır.
Tehdit aktörleri, Eylül 2018’den bu yana güncelleme almayan meşru SteamCleaner aracını, orijinal kaynağa kötü amaçlı kod enjekte ederek ve bunu yasa dışı yazılım deposu gibi görünen sahte web siteleri aracılığıyla dağıtarak silah haline getirdi.
Kırık yazılım veya keygen arayan kullanıcılar, kötü amaçlı yazılımı barındıran GitHub depolarına yönlendirilir ve bu depolar, Setup.exe olarak sunulur.
Kötü amaçlı yükleyici, Taiyuan Jiankang Technology Co., Ltd.’nin geçerli bir dijital sertifikasıyla imzalanmış olup, 4,66 MB’lık pakete sahte meşruiyet kazandırıyor ve ilk güvenlik incelemesini atlamasına olanak tanıyor.
Kötü amaçlı yazılım, çalıştırıldıktan sonra kendisini C:\Program Files\Steam Cleaner\ dizinine yükleyerek Steam Cleaner.exe (3.472KB), yapılandırma dosyaları ve toplu komut dosyaları da dahil olmak üzere birden fazla bileşeni dağıtıyor.
.webp)
ASEC güvenlik araştırmacıları, saldırganların orijinal SteamCleaner işlevselliğini sürdürürken, gelişmiş anti-sanal alan tespit mekanizmalarını da kullandıklarını tespit etti.
Kötü amaçlı yazılım, sistem bilgisi analizi, bağlantı noktası numaralandırması, WMI sorguları ve süreç izleme dahil olmak üzere kapsamlı çevresel kontroller gerçekleştirir.
Korumalı alana alınmış bir ortam algılandığında, kötü amaçlı yazılım, kötü amaçlı davranışı tetiklemeden yalnızca meşru temizleme işlevini yürütür.
Yük dağıtım mekanizması, kötü amaçlı yazılımın içine yerleştirilmiş şifrelenmiş PowerShell komutlarına dayanır.
.webp)
Bu komutlar, Node.js’nin kurbanın sistemine kurulumunu düzenler ve ardından ayrı komuta ve kontrol altyapısından iki farklı kötü amaçlı komut dosyası indirir.
Her iki komut dosyası da kalıcılığı sağlamak için Windows Görev Zamanlayıcı’ya kaydedilir, sistem başlangıcında otomatik olarak yürütülür ve daha sonra her saat tekrarlanır.
Komuta ve Kontrol İletişim Protokolü
İki Node.js betiği, yapılandırılmış JSON yükleri aracılığıyla ilgili C2 sunucularıyla çift yönlü iletişim kanalları kurar.
Kötü amaçlı yazılım, C2 altyapısına bağlanırken işletim sistemi türü ve sürümü, ana bilgisayar adı, sistem mimarisi ve aygıt GUID’inden türetilen benzersiz bir makine tanımlayıcı dahil olmak üzere kapsamlı sistem keşif verilerini iletir.
C:\WCM{UUID}\UUID konumuna yüklenen ve Microsoft/Windows/WCM/WiFiSpeedScheduler olarak kaydedilen ilk komut dosyası, rt-guard dahil birden fazla C2 alanına bağlanır[.]com, 4tressx[.]com, kuchiku[.]dijital ve ekranlayıcı[.]com.
Bu komut dosyası, saldırganın belirttiği URL’lerden dosyaları indirir ve bunları CMD veya PowerShell işlemlerini kullanarak çalıştırır.
İkinci komut dosyası, Microsoft/Windows/Diagnosis/Recommended DiagnosisScheduler görev adıyla C:\WindowsSetting{UUID}\UUID’den çalışır ve aginscore ile iletişim kurar.[.]com.
Bu varyant daha agresif gizleme teknikleri kullanır ve komutları doğrudan Node aracılığıyla yürütür.[.]Node.js’nin yerel kabuk yürütme işlevi.
C2 iletişimi iki ana uç nokta aracılığıyla gerçekleşir: komutların alınması için /d ve yürütme sonuçlarının iletilmesi için /e.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
