Kötü Amaçlı Kodu Gizlemek İçin Yeni Bir Teknik

Tehdit aktörleri, Binance’in Akıllı Zincir (BSC) sözleşmelerini kötüye kullanarak kötü amaçlı kod zincirinin parçalarını blok zincirinin içinde gizlemek amacıyla barındıran “EtherHiding” adlı kötü amaçlı kodu dağıtmak için yeni bir teknik kullandı.

Tehdit aktörleri, blockchain sistemlerine kötü amaçlı JavaScript kodları enjekte etmek için, kaçamak dağıtım sağlamak amacıyla Cloudflare Worker ana bilgisayarlarına yönlendirilen, ele geçirilmiş WordPress sitelerini kullandı.

“Saldırı akışında, bir site, siteye erişilmeden önce tarayıcı güncellemesi talep eden çok inandırıcı bir katmanla tahrif ediliyor. Sahte “güncellemenin” RedLine, Amadey veya Lumma gibi tehlikeli bilgi hırsızı kötü amaçlı yazılım olduğu ortaya çıktı.”, Guardio Labs’ın gönderisini okuyor.

ÜCRETSİZ Web Semineri

API güvenliği yalnızca bir öncelik değildir; işletmelerin ve kuruluşların yaşam çizgisidir. Ancak bu karşılıklı bağlantı, genellikle yüzeyin altına gizlenmiş bir dizi güvenlik açığını da beraberinde getiriyor.

Şimdi üye Ol

EtherKötü Amaçlı Yazılımları Gizliyor

Bu yeni tekniğe aynı zamanda sahte tarayıcı güncelleme katmanları görüntüleyerek güvenliği ihlal edilmiş web siteleri aracılığıyla kötü amaçlı kodlar dağıtan “ClearFake” adı da verildi.

Cyber ​​Security News ile paylaşılan raporlara göre, tehdit aktörlerinin savunmasız WordPress web sitelerini hedef alarak web sayfalarına iki kötü amaçlı komut dosyası enjekte ettiği doğrulandı.

Bu kötü amaçlı komut dosyaları, siteye enjekte edilen blok zincirinden diğer kötü amaçlı komut dosyalarını getiren Binance Smart Chain (BSC) JS kitaplığını yükler. Üstelik bu kod aynı zamanda saldırganın kontrol ettiği sunucudan (C2) üçüncü aşama verinin indirilmesini de tetikliyor.

Sahte tarayıcı güncelleme katmanları Google Chrome, Microsoft Edge veya Mozilla Firefox tarayıcı kullanıcılarına sorulur. Kurbanlar “güncelleme”düğmesiyle Dropbox’tan veya diğer meşru web sitelerinden kötü amaçlı bir yürütülebilir dosya indirmeye yönlendirilirler.

Blockchain teknolojisi güçlü bir araç olmakla birlikte, kötü amaçlı yazılımların yayılması veya çalınan veri ve dosyaların sızması gibi çeşitli şekillerde de istismar edilebilir. Bu kötü niyetli etkinliklerin geleneksel kanun uygulama yöntemleri kullanılarak takip edilmesi ve kapatılması zor olabilir.

ClearFake hakkında, dağıtım tekniği, yararlanma yöntemleri, Binance kullanım nedeni ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor Guardio Labs tarafından yayınlandı.

Uzlaşma Göstergeleri (IOC’ler)

İlgili BSC Adresleri/Sözleşmeleri: ———————————– 0xfc1fE66FB63c542A3e4D45305DaB196E5EcA222A 0x7f36D9292e7c70A204faCC2d255475A861487c60 3’lü Aşama IP Adresleri: ———————– 109[.]248[.]206[.]49 3. Aşama Saldırgan Kontrollü Alanlar: ————————————– 921hapudyqwdvy[.]iletişim 98ygdjhdvuhj[.]iletişim boiibzqmk12j[.]iletişim kitapchrono8273[.]iletişim bpjoieohzmhegwegmmuew[.]çevrimiçi cczqyvuy812jdy[.]iletişim indogevro22tevra[.]iletişim ioiubby73b1n[.]iletişim kjniuby621edoo[.]iletişim lminoeubybyvq[.]iletişim nbvyrxry216vy[.]iletişim nmbvcxzasedrt[.]iletişim oekofkkfkoeefkefbnhgtrq[.]uzay oiouhvtybh291[.]iletişim oiuugyfytvgb22h[.]iletişim oiuytyfvq621mb[.]kuruluş ojhggnfbcy62[.]iletişim opkfijuifbuyynyny[.]iletişim pklkknj89bygvczvi[.]iletişim poqwjoemqzmemzgqegzqzf[.]çevrimiçi pwwqkppwqkezqer[.]alan reedx51mut[.]iletişim sioaiuhsdguywqgyuhuiqw[.]kuruluş ug62r67uiijo2[.]iletişim vcrwtttywuuidqioppn1[.]iletişim vvoooowkdqddcqcqcdqggggl[.]alan ytntf5hvtn2vgcxxq[.]iletişim zasexdrc13ftvg[.]iletişim ziucsugcbfyfbyccbasy[.]iletişim Güvenliği Tehlikede Olan WordPress Siteleri (Son 14 Günde Tespit Edildi): —————————————————- k profilleri[.]iletişim Animex[.]vip renklimanga[.]iletişim gayvidsclub[.]iletişim günlükangelprayers[.]açık sağlıkella[.]iletişim Techsprobe[.]iletişim özel uçak[.]ro .. .. .. –> 510 Alan Adı Daha Burada –> https://Pastebin.com/x23iWvix Kötü Amaçlı Yazılım Karmaları (örnekler): ———————————— d0c56875fb19a407a86292e35dffec6caabbdbf630fbb79de4eec04708fa7b66 37bba90d20e429ce3fd56847e4e7aaf83c62fdd70a7dbdcd35b6f2569d47d533 b029b40badab029cbd916ab2e5147e9f01abd147e1bf9e5ed1564ee44a0d087f 1a99ac759fcd881729b76c2904476b4201e794df2d0547c954ea37be7c153131 633124ed8d7af6dd22722ee43abfe9b0ad97798a1d48b951abdc1ad88e83c702 3db1afee107cf2fa57d13e60c13c87dd1c22bfa9ef23dcf369d52dd9807a5ff4 1743f4a392b6d2ad0d47a7a57e277e1a29ecf459275b604919a6131739afdaad 788567d3cc693dd5d0dada9f4e1421755c1d74257544ba12b502f085a620585e 3d77b34ba6dbb49d594e2be590a87f682e1875d2565ff18bsağırc66c9d5594ea 80f05865e59ec4e12e504adbf5fae3d706b5d27e5ab2fc52fcd0feb19365c7b0 e041b3eaaed1c0ad37e7f91717ee5b0e12e922b67bbe1e69a4c68c80baf22b4f 8ba53b5d773bc157df65fb0941c24e1edbc7c7b47e37b3f7a01751fc3b1a701a 2ab315537510fc91d73825d0d6661e9f4b141799877e2f5159892886265f362e Kötü Amaçlı Yazılım Dosya Adı örnekleri (Dosya adlarında UNICODE kötüye kullanımına dikkat edin): ——————– ChromeSetup.appx ChromeSetup.exe ChromeSetup.exe ChromeSetup.msi MlсrосоftЕdgeSetup.appx MlсrosoftEdgeSetup.exe MlсrosoftEdgeSetup.msi MlсrоsоftЕdgеSetup.msix Kurulum_win64_2.49.0.4_release.exe Setup_win64_5.49.1031-release.exe

850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.