Kötü Amaçlı Film İndirmeleriyle Windows’u Hedef Alan Saldırılarda Yeni PEAKLIGHT Dropper Kullanıldı


23 Ağu 2024Ravie LakshmananKötü Amaçlı Yazılım / Tehdit İstihbaratı

Siber güvenlik araştırmacıları, Windows sistemlerini bilgi hırsızları ve yükleyicilerle enfekte etme nihai hedefi olan bir sonraki aşama kötü amaçlı yazılımların başlatılmasına olanak tanıyan, daha önce hiç görülmemiş bir dropper keşfettiler.

“Bu yalnızca bellek damlatıcısı, PowerShell tabanlı bir indiriciyi şifresini çözer ve çalıştırır,” dedi Google’a ait Mandiant. “Bu PowerShell tabanlı indirici, PEAKLIGHT olarak izleniyor.”

Bu teknik kullanılarak dağıtılan kötü amaçlı yazılım türlerinden bazıları Lumma Stealer, Hijack Loader (diğer adıyla DOILoader, IDAT Loader veya SHADOWLADDER) ve CryptBot’tur; bunların hepsi kötü amaçlı yazılım hizmeti (SaaS) modeli altında tanıtılır.

Siber Güvenlik

Saldırı zincirinin başlangıç ​​noktası, örneğin kullanıcılar arama motorlarında bir film aradığında, sürücü indirme teknikleri aracılığıyla indirilen bir Windows kısayolu (LNK) dosyasıdır. LNK dosyalarının korsan filmler olarak gizlenmiş ZIP ​​arşivleri içinde dağıtıldığına dikkat çekmekte fayda var.

LNK dosyası, gizlenmiş yalnızca bellek JavaScript dropper’ı barındıran bir içerik dağıtım ağına (CDN) bağlanır. Dropper daha sonra ana bilgisayarda PEAKLIGHT PowerShell indirme betiğini yürütür ve ardından ek yükler almak için bir komut ve kontrol (C2) sunucusuna ulaşır.

Mandiant, LNK dosyalarının bazılarının yıldız işaretlerini kullandığı farklı varyasyonlarını tespit ettiğini söyledi

uzak bir sunucudan alınan kötü amaçlı kodu (yani, damlalık) gizlice çalıştırmak için meşru mshta.exe ikili dosyasını başlatmak üzere joker karakterler olarak.

Benzer şekilde, dropper’ların, sonunda PEAKLIGHT’ı çalıştırmak için açılan hem hex kodlu hem de Base64 kodlu PowerShell yüklerini gömdüğü bulundu. PEAKLIGHT, tehlikeye atılmış bir sisteme bir sonraki aşama kötü amaçlı yazılım göndermek ve aynı anda meşru bir film fragmanını indirmek için tasarlanmış, muhtemelen bir hiledir.

Mandiant araştırmacıları Aaron Lee ve Praveeth D'Souza,

Siber Güvenlik

“Arşivler mevcut değilse, indirici bir CDN sitesine ulaşacak ve uzaktan barındırılan arşiv dosyasını indirip diske kaydedecektir.”

Açıklama, Malwarebytes’ın Slack adlı bir kurumsal iletişim platformu için sahte Google Arama reklamları kullanarak kullanıcıları kötü amaçlı yükleyiciler barındıran ve sonunda SectopRAT adlı uzaktan erişim trojanının dağıtılmasına yol açan sahte web sitelerine yönlendiren bir kötü amaçlı reklam kampanyasını ayrıntılarıyla açıklamasının ardından geldi. Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter

ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.



Source link