Kötü amaçlı reklamverenler kripto para birimlerine ve ilk erişime odaklanıyor

Geçtiğimiz ay boyunca, popüler video konferans yazılımı “Zoom” için Google’da yapılan aramalarda kötü amaçlı reklamların sayısında bir artış gözlemledik. Tehdit aktörleri, normalde BT yöneticilerine yönelik olan “Gelişmiş IP Tarayıcı” veya “WinSCP” gibi yazılım indirmeleri için farklı anahtar kelimeler arasında geçiş yapıyor.

Zoom dünya çapında milyonlarca insan tarafından kullanılsa da, bu kampanyalar muhtemelen şirket ağlarına erişim sağlamak için kurumsal kullanıcıların yanı sıra kripto para birimleriyle ilgilenen mağdurları da hedefliyor.

Bu blog yazısında iki durumu vurgulamayı seçtik:

• Vaka #1, daha önce kamuya açık olarak bahsedildiğini görmediğimiz yeni bir yükleyici hakkındadır. Hiroşima Nükleer Bombaları. Kullanıcı verilerini çalmak için tasarlanmış ek bir yükü düşürür.
• Vaka #2, tehdit aktörünün kurbanları bizim için yeni olan bir panel aracılığıyla takip ettiği FakeBat yükleyicisinin bırakıldığı bir kampanyadır. Av paneli 1.40. FakeBat, tehdit aktörleri tarafından genellikle uygulamalı klavye operasyonları için ilk giriş noktası olarak kullanılıyor.

Kötü amaçlı reklamları Google’a bildirdik.

Reklamveren profilleri

Tehdit aktörleri, birden fazla reklamveren hesabı oluşturmak için bir dizi sahte kimlik kullanıyor. Farklı reklamların farklı reklamveren kimliklerine sahip olduğunu ancak arka uç altyapısının aynı olduğunu fark ettik.

Ayrıca, ele geçirilmiş olabilecek mevcut reklam hesaplarını da kullanıyorlar (hesaplardan birinde 30.000’den fazla reklam vardı):

Bu Zoom kötü amaçlı reklamcılık kampanyalarına kaç kişinin kandığını bilmesek de, reklamların sayısının ve konumlarının önemli miktarda trafik oluşturacak kadar belirgin olduğunu söyleyebiliriz.

Yeni hizmetler yoluyla gizleme

Tehdit aktörleri, meşru Zoom web sitesine, bir siteye veya kendi seçtikleri yönlendirme mekanizmasını gizlemek için izleme şablonlarını kullanıyor. Yönlendirmeleri için AppsFlyer (onelink.me) ve HYROS (l.hyros.com) adlı bir hizmeti kötüye kullanıyorlar. Zoom kampanyaları için aşağıdaki bağlantıları gözlemledik:

• aksdquwrqr[.]tek bağlantı[.]Ben
• ntcrgfmmc3[.]tek bağlantı[.]Ben
• 169-zoona32[.]tek bağlantı[.]Ben
• zoromon[.]tek bağlantı[.]Ben
• Not defteri[.]tek bağlantı[.]Ben
• putin-777[.]tek bağlantı[.]Ben
• yakınlaştırma[.]tek bağlantı[.]Ben
• mmozl[.]tek bağlantı[.]Ben
• arnold[.]tek bağlantı[.]Ben
• masaüstü istemcisi[.]tek bağlantı[.]Ben
• slovo-pacana[.]tek bağlantı[.]Ben
• ben[.]Hidros[.]com/c8KqPHYKdt

Vaka #1: Hiroşima Nükleer Silahları

HiroshimaNukes, yazarı tarafından bizim için yeni olan bir kötü amaçlı yazılım parçasına verilen addır. DLL yan yüklemesinden çok büyük veri yüklerine kadar algılamayı atlamak için çeşitli teknikler kullanır. Amacı, genellikle bir hırsız ve ardından veri sızıntısı olan ek kötü amaçlı yazılımları bırakmaktır.

Dağıtım

Tehdit aktörü, yakınlaştırma aramasıyla ilgili Google reklamları aracılığıyla kullanıcıları hedefliyor:

Reklama tıklamak, adresindeki bir alana yönlendirir. yakınlaştırma yöneticisi[.]hayat ziyaretçinin IP adresini kontrol eden ve yönlendirme yapan zoom.us (yasal) site veya bizi yakınlaştır[.]teknoloji (kötü amaçlı site) belirli koşullara dayanmaktadır. Hedeflenen hedefler, gerçek Zoom’un web sitesine benzeyen bir web sayfası görecektir:

Kullanıcılar, adlı bir dosyayı indirmeleri için kandırılır. ZoomInstaller.zip bir kez çıkarıldığında bir ana yürütülebilir dosya ve birkaç DLL dosyası içerir:

_Zoom.exe dosya Zoom Video Communications, Inc. tarafından imzalanmış meşru bir ikili dosyadır:

DLL yandan yükleme

DLL yandan yükleme, tehdit aktörleri tarafından algılamayı atlamak için kullanılan bir tekniktir. Bir program (EXE) tarafından kullanılan meşru bir kitaplık dosyasının (DLL), aynı adı ve konumu kullanan kötü amaçlı bir dosyayla değiştirilmesinden oluşur.

Ana program başlatıldığında, ilgili DLL dosyasını doğrulamaya gerek kalmadan otomatik olarak yükleyecektir. Bu durumda, _Zoom.exe yan yükler librcrypto-3-zm.dll:

DLL yandan yükleme, kötü amaçlı yazılım yazarları tarafından yaygın olarak kullanılsa da, aynı zamanda tüm kötü amaçlı reklam kampanyalarında görmediğimiz benzersiz bir TTP’dir. Aynı tehdit aktörünün daha önceki benzer saldırılarını araştırabildik. Bu sefer kötü amaçlı DLL, sanki FFmpeg kütüphanesiymiş gibi yan yüklendi (ffmpeg.dll). Aşağıdaki ekran görüntüsünden görebileceğiniz gibi, yem zaman içinde TradingView, Notion veya Obsidian gibi markalara göre değişiklik göstermiştir.

Bulduğumuz tüm kötü amaçlı DLL’ler muhtemelen özensiz olan veya kötü amaçlı yazılımın adını görünürde bırakmak isteyen aynı tehdit aktörü tarafından derlenmişti:

D:\Projects\General\HiroshimaNukesDropper\V2\Dll\x64\Release\Dll.pdb

Bu “HiroshimaNukes” damlalığı yeni bir çalıştırılabilir dosya üretecek (zoom_crypted.exe) aynı zamanda boyutu nedeniyle tespit edilmekten kaçınmaya çalışan:

Dosya önemsiz kodla şişirildi:

Dizelerine baktığımızda, kripto para cüzdanlarına odaklanan bir hırsız olduğunu görebiliriz:

0x40284e: Cookies
0x40290a: Network\Cookies
0x4029c2: DHistoryDDDDDDDsWeb Datassssssss
0x42c43b: TDiscord PTB\Local Storage\leveldbTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTC
0x42c51f: wDiscord Canary\leveldbwwwwwwwwwwwwwwwwwwwwww-
0x42e1fd: Jkey3.dbJJJJJJJ
0x42e67c: Nformhistory.sqlite
0x42e798: Nformhistory.sqlite
0x433d69: WIMAP PasswordWWWWWWWWWWWWW
0x43515c:
0x44241d: oArmoryoooooo6
0x4426f4: 2bytecoin22222222
0x4427ba: ZJaxxClassicZZZZZZZZZZZ
0x4431f2: %Jaxx\Local Storage\leveldb%%%%%%%%%%%%%%%%%%%%%%%%%%
0x44347e: jEthereumjjjjjjjj2
0x443544: oEthereum\keystoreooooooooooooooooo>
0x443621: #Electrum
0x443751: }Electrum\wallets}}}}}}}}}}}}}}}}
0x443825: Electrum-LTC
0x4438ff: Electrum-LTC\wallets
0x443a3c: Electrum-BCH
0x443b76: WElectrum-BCH\walletsWWWWWWWWWWWWWWWWWWWW
0x443c5e: 2Atomic222222&
0x443d64: atomic\Local Storage\leveldb
0x443e5a: +Guarda
0x443f66: 9lGuarda\Local Storage\leveldb
0x4440ab: tWasabitttttt
0x444194: 7^WalletWasabi\Client\Wallets
0x444335: ,Daedalus,,,,,,,,f
0x444441: Daedalus Mainnet\wallets
0x444523: Ledger Live
0x4445fc: )Ledger Live)))))))))))
0x444d50: /Litecoin////////

Vaka #2: FakeBat ve Avcılık paneli

Bu ikinci durumda, ilginç bir eklentisi olan FakeBat yükleyici yüküne bakıyoruz. Tehdit aktörleri, bizim için yeni olan Hunting panel 1.40 adlı bir kontrol panelini kullanarak kampanyalarındaki kurbanları takip ediyor.

Dağıtım

Google’da “yakınlaştırma” araması yapan şüphelenmeyen kullanıcılar, dışarıdan orijinal görünen bir Sponsorlu sonuç tarafından aldatılır. Reklamın görünen URL’si şu şekildedir: zoom.us (Zoom’un resmi web sitesidir), reklamın yanındaki menüye tıklandığında “CHANDLER BONNY M” olarak tanımlanan bir reklamveren ortaya çıkar:

Bu açılış sayfasında kullanıcılar, Zoom yükleyicisinin kötü amaçlı bir sürümünü indirmeleri için kandırılıyor:

İndirme işlemi, aşağıdaki bağlantıya bağlanan bir JavaScript olayı aracılığıyla başlatılır: ms-appinstaller MSIX dosyasının barındırıldığı URL:

Kötü amaçlı yazılım yükü

Kötü amaçlı yükleyici birkaç dosya içerir ancak kötü amaçlı bileşenler PowerShell komut dosyalarında bulunur. Bu teknik, muhtemelen geleneksel kötü amaçlı yazılım ikilisine göre daha yüksek enfeksiyon oranlarına sahip oldukları için tehdit aktörleri tarafından aylardır kullanılıyor.

Base64 kodlu PowerShell, kötü amaçlı yazılımın komuta ve kontrol sunucusunun yanı sıra, makine ve yüklü herhangi bir güvenlik yazılımı hakkındaki telemetriyi geri raporlamak gibi bir dizi başka komutu ve daha da önemlisi, kodu anında çözülen bir GPG şifreli yükünü ortaya çıkarır.

Panel ve API

Web trafiğini incelerken, API’deki uzak bir etki alanına veri göndermek için yeni bir WebSocket oluşturulduğunu fark ettik.[.]Av paneli[.]bağlantı. Bu verilerden bazıları dosya kimliğini, proje adını ve açılış sayfası için kullanılan alanı içerir.

Bu sunucu daha önce adını duymadığımız bir kontrol paneli olan “Hunting panel 1.40”a giriş sayfasını barındırıyor. Bunun, tehdit aktörünün kötü amaçlı reklam ve yük dağıtım kampanyalarını takip etmesinin bir yolu olduğunu düşünüyoruz. Panelin arka plan görüntüsü Firewatch video oyunundan alınmıştır.

Koruma

Kötü amaçlı reklamcılık, tehdit aktörlerinin reklam doğrulama kontrollerini ve çoğu zaman güvenlik çözümlerini de atlayabildiği ayrıcalıklı bir kötü amaçlı yazılım dağıtım vektörü olmaya devam ediyor.

Karşılaştığımız her yeni kötü amaçlı reklam kampanyasını aktif olarak takip ediyor ve raporluyoruz. Üçüncü tarafların kötü amaçlı reklamlara karşı ne zaman harekete geçeceğini her zaman kontrol edemediğimiz için en büyük önceliğimiz, yeni kötü amaçlı yazılım etki alanlarını ve örneklerini engelleyerek müşterilerimizin korunmaya devam etmesini sağlamaktır.

Hem bireysel hem de kurumsal kullanıcılarımız bu tehditlere karşı korunmaktadır.

Teşekkür

Kötü amaçlı yazılım araştırmacısı ve Open Analysis’in kurucu ortağı Sergei Frankoff’a HiroshimaNukes damlatıcısı konusundaki yardımlarından dolayı teşekkür ederiz.

Uzlaşma Göstergeleri

Vaka #1 IOC’ler

Tanım	Gösterge
Sahte Yakınlaştırma sitesi	bizi yakınlaştır[.]teknoloji
İndirme URL’si	bizi yakınlaştır[.]tech/ZoomInstaller.zip
Sahte Zoom arşivi (ZoomInstaller.zip)	fd524641d2be705d76feb0453374c5b2ad9582ced4f00bb3722b735401da2762
Kötü amaçlı DLL (libcrypto-3-zm.dll)	30fda67726f77706955f6b52b202452e91d5ff132783854eec63e809061a4b5c
Hırsız yükü	5b917d04d416cafaf13ed51c40b58dc8b4413483ea3f5406b8348038125cad0b
Hırsız C2	94.131.110[.]127