Kötü amaçlı reklamverenler kripto para birimlerine ve ilk erişime odaklanıyor


Geçtiğimiz ay boyunca, popüler video konferans yazılımı “Zoom” için Google’da yapılan aramalarda kötü amaçlı reklamların sayısında bir artış gözlemledik. Tehdit aktörleri, normalde BT yöneticilerine yönelik olan “Gelişmiş IP Tarayıcı” veya “WinSCP” gibi yazılım indirmeleri için farklı anahtar kelimeler arasında geçiş yapıyor.

Zoom dünya çapında milyonlarca insan tarafından kullanılsa da, bu kampanyalar muhtemelen şirket ağlarına erişim sağlamak için kurumsal kullanıcıların yanı sıra kripto para birimleriyle ilgilenen mağdurları da hedefliyor.

Bu blog yazısında iki durumu vurgulamayı seçtik:

  • Vaka #1, daha önce kamuya açık olarak bahsedildiğini görmediğimiz yeni bir yükleyici hakkındadır. Hiroşima Nükleer Bombaları. Kullanıcı verilerini çalmak için tasarlanmış ek bir yükü düşürür.
  • Vaka #2, tehdit aktörünün kurbanları bizim için yeni olan bir panel aracılığıyla takip ettiği FakeBat yükleyicisinin bırakıldığı bir kampanyadır. Av paneli 1.40. FakeBat, tehdit aktörleri tarafından genellikle uygulamalı klavye operasyonları için ilk giriş noktası olarak kullanılıyor.

Kötü amaçlı reklamları Google’a bildirdik.

Reklamveren profilleri

Tehdit aktörleri, birden fazla reklamveren hesabı oluşturmak için bir dizi sahte kimlik kullanıyor. Farklı reklamların farklı reklamveren kimliklerine sahip olduğunu ancak arka uç altyapısının aynı olduğunu fark ettik.

Sahte reklamveren profilleri

Ayrıca, ele geçirilmiş olabilecek mevcut reklam hesaplarını da kullanıyorlar (hesaplardan birinde 30.000’den fazla reklam vardı):

Reklam hesabı muhtemelen kötü amaçlı Zoom reklamı eklemek için saldırıya uğradı

Bu Zoom kötü amaçlı reklamcılık kampanyalarına kaç kişinin kandığını bilmesek de, reklamların sayısının ve konumlarının önemli miktarda trafik oluşturacak kadar belirgin olduğunu söyleyebiliriz.

Yeni hizmetler yoluyla gizleme

Tehdit aktörleri, meşru Zoom web sitesine, bir siteye veya kendi seçtikleri yönlendirme mekanizmasını gizlemek için izleme şablonlarını kullanıyor. Yönlendirmeleri için AppsFlyer (onelink.me) ve HYROS (l.hyros.com) adlı bir hizmeti kötüye kullanıyorlar. Zoom kampanyaları için aşağıdaki bağlantıları gözlemledik:

  • aksdquwrqr[.]tek bağlantı[.]Ben
  • ntcrgfmmc3[.]tek bağlantı[.]Ben
  • 169-zoona32[.]tek bağlantı[.]Ben
  • zoromon[.]tek bağlantı[.]Ben
  • Not defteri[.]tek bağlantı[.]Ben
  • putin-777[.]tek bağlantı[.]Ben
  • yakınlaştırma[.]tek bağlantı[.]Ben
  • mmozl[.]tek bağlantı[.]Ben
  • arnold[.]tek bağlantı[.]Ben
  • masaüstü istemcisi[.]tek bağlantı[.]Ben
  • slovo-pacana[.]tek bağlantı[.]Ben
  • ben[.]Hidros[.]com/c8KqPHYKdt
Reklam ve yönlendirme mekanizması

Vaka #1: Hiroşima Nükleer Silahları

HiroshimaNukes, yazarı tarafından bizim için yeni olan bir kötü amaçlı yazılım parçasına verilen addır. DLL yan yüklemesinden çok büyük veri yüklerine kadar algılamayı atlamak için çeşitli teknikler kullanır. Amacı, genellikle bir hırsız ve ardından veri sızıntısı olan ek kötü amaçlı yazılımları bırakmaktır.

HiroshimaNukes yükleyici kurulum akışı

Dağıtım

Tehdit aktörü, yakınlaştırma aramasıyla ilgili Google reklamları aracılığıyla kullanıcıları hedefliyor:

Google arama yoluyla Zoom için kötü amaçlı reklam

Reklama tıklamak, adresindeki bir alana yönlendirir. yakınlaştırma yöneticisi[.]hayat ziyaretçinin IP adresini kontrol eden ve yönlendirme yapan zoom.us (yasal) site veya bizi yakınlaştır[.]teknoloji (kötü amaçlı site) belirli koşullara dayanmaktadır. Hedeflenen hedefler, gerçek Zoom’un web sitesine benzeyen bir web sayfası görecektir:

Kötü amaçlı indirme içeren sahte Zoom web sayfası

Kullanıcılar, adlı bir dosyayı indirmeleri için kandırılır. ZoomInstaller.zip bir kez çıkarıldığında bir ana yürütülebilir dosya ve birkaç DLL dosyası içerir:

Zoom indirme arşivinin içeriği

_Zoom.exe dosya Zoom Video Communications, Inc. tarafından imzalanmış meşru bir ikili dosyadır:

Ana yürütülebilir dosya yasaldır

DLL yandan yükleme

DLL yandan yükleme, tehdit aktörleri tarafından algılamayı atlamak için kullanılan bir tekniktir. Bir program (EXE) tarafından kullanılan meşru bir kitaplık dosyasının (DLL), aynı adı ve konumu kullanan kötü amaçlı bir dosyayla değiştirilmesinden oluşur.

Ana program başlatıldığında, ilgili DLL dosyasını doğrulamaya gerek kalmadan otomatik olarak yükleyecektir. Bu durumda, _Zoom.exe yan yükler librcrypto-3-zm.dll:

Ana yürütülebilir dosya çalıştırıldığında yüklenen kötü amaçlı DLL

DLL yandan yükleme, kötü amaçlı yazılım yazarları tarafından yaygın olarak kullanılsa da, aynı zamanda tüm kötü amaçlı reklam kampanyalarında görmediğimiz benzersiz bir TTP’dir. Aynı tehdit aktörünün daha önceki benzer saldırılarını araştırabildik. Bu sefer kötü amaçlı DLL, sanki FFmpeg kütüphanesiymiş gibi yan yüklendi (ffmpeg.dll). Aşağıdaki ekran görüntüsünden görebileceğiniz gibi, yem zaman içinde TradingView, Notion veya Obsidian gibi markalara göre değişiklik göstermiştir.

Diğer DLL yandan yükleme örnekleri

Bulduğumuz tüm kötü amaçlı DLL’ler muhtemelen özensiz olan veya kötü amaçlı yazılımın adını görünürde bırakmak isteyen aynı tehdit aktörü tarafından derlenmişti:

D:\Projects\General\HiroshimaNukesDropper\V2\Dll\x64\Release\Dll.pdb

Bu “HiroshimaNukes” damlalığı yeni bir çalıştırılabilir dosya üretecek (zoom_crypted.exe) aynı zamanda boyutu nedeniyle tespit edilmekten kaçınmaya çalışan:

774 MB’ın üzerindeki dosya bırakıldı

Dosya önemsiz kodla şişirildi:

UnpacMe hizmetinin ikili dosya analizi

Dizelerine baktığımızda, kripto para cüzdanlarına odaklanan bir hırsız olduğunu görebiliriz:

0x40284e: Cookies
0x40290a: Network\Cookies
0x4029c2: DHistoryDDDDDDDsWeb Datassssssss
0x42c43b: TDiscord PTB\Local Storage\leveldbTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTTC
0x42c51f: wDiscord Canary\leveldbwwwwwwwwwwwwwwwwwwwwww-
0x42e1fd: Jkey3.dbJJJJJJJ
0x42e67c: Nformhistory.sqlite
0x42e798: Nformhistory.sqlite
0x433d69: WIMAP PasswordWWWWWWWWWWWWW
0x43515c:
0x44241d: oArmoryoooooo6
0x4426f4: 2bytecoin22222222
0x4427ba: ZJaxxClassicZZZZZZZZZZZ
0x4431f2: %Jaxx\Local Storage\leveldb%%%%%%%%%%%%%%%%%%%%%%%%%%
0x44347e: jEthereumjjjjjjjj2
0x443544: oEthereum\keystoreooooooooooooooooo>
0x443621: #Electrum
0x443751: }Electrum\wallets}}}}}}}}}}}}}}}}
0x443825: Electrum-LTC
0x4438ff: Electrum-LTC\wallets
0x443a3c: Electrum-BCH
0x443b76: WElectrum-BCH\walletsWWWWWWWWWWWWWWWWWWWW
0x443c5e: 2Atomic222222&
0x443d64: atomic\Local Storage\leveldb
0x443e5a: +Guarda
0x443f66: 9lGuarda\Local Storage\leveldb
0x4440ab: tWasabitttttt
0x444194: 7^WalletWasabi\Client\Wallets
0x444335: ,Daedalus,,,,,,,,f
0x444441: Daedalus Mainnet\wallets
0x444523: Ledger Live
0x4445fc: )Ledger Live)))))))))))
0x444d50: /Litecoin////////

Vaka #2: FakeBat ve Avcılık paneli

Bu ikinci durumda, ilginç bir eklentisi olan FakeBat yükleyici yüküne bakıyoruz. Tehdit aktörleri, bizim için yeni olan Hunting panel 1.40 adlı bir kontrol panelini kullanarak kampanyalarındaki kurbanları takip ediyor.

FakeBat kurulum akışı

Dağıtım

Google’da “yakınlaştırma” araması yapan şüphelenmeyen kullanıcılar, dışarıdan orijinal görünen bir Sponsorlu sonuç tarafından aldatılır. Reklamın görünen URL’si şu şekildedir: zoom.us (Zoom’un resmi web sitesidir), reklamın yanındaki menüye tıklandığında “CHANDLER BONNY M” olarak tanımlanan bir reklamveren ortaya çıkar:

Google arama yoluyla Zoom için kötü amaçlı reklam
Reklama tıklamayı takip eden web trafiği

Bu açılış sayfasında kullanıcılar, Zoom yükleyicisinin kötü amaçlı bir sürümünü indirmeleri için kandırılıyor:

Sahte Zoom web sayfası ve kötü amaçlı yükleyici

İndirme işlemi, aşağıdaki bağlantıya bağlanan bir JavaScript olayı aracılığıyla başlatılır: ms-appinstaller MSIX dosyasının barındırıldığı URL:

MSIX yükleyicisinin indirilmesini işleyen kaynak kodu

Kötü amaçlı yazılım yükü

Kötü amaçlı yükleyici birkaç dosya içerir ancak kötü amaçlı bileşenler PowerShell komut dosyalarında bulunur. Bu teknik, muhtemelen geleneksel kötü amaçlı yazılım ikilisine göre daha yüksek enfeksiyon oranlarına sahip oldukları için tehdit aktörleri tarafından aylardır kullanılıyor.

MSIX dosyasının içeriği

Base64 kodlu PowerShell, kötü amaçlı yazılımın komuta ve kontrol sunucusunun yanı sıra, makine ve yüklü herhangi bir güvenlik yazılımı hakkındaki telemetriyi geri raporlamak gibi bir dizi başka komutu ve daha da önemlisi, kodu anında çözülen bir GPG şifreli yükünü ortaya çıkarır.

Kötü amaçlı PowerShell betiğinin görünümü

Panel ve API

Web trafiğini incelerken, API’deki uzak bir etki alanına veri göndermek için yeni bir WebSocket oluşturulduğunu fark ettik.[.]Av paneli[.]bağlantı. Bu verilerden bazıları dosya kimliğini, proje adını ve açılış sayfası için kullanılan alanı içerir.

WebSocket’e bağlantı

Bu sunucu daha önce adını duymadığımız bir kontrol paneli olan “Hunting panel 1.40”a giriş sayfasını barındırıyor. Bunun, tehdit aktörünün kötü amaçlı reklam ve yük dağıtım kampanyalarını takip etmesinin bir yolu olduğunu düşünüyoruz. Panelin arka plan görüntüsü Firewatch video oyunundan alınmıştır.

Avcılık paneli 1.40 kontrol paneli

Koruma

Kötü amaçlı reklamcılık, tehdit aktörlerinin reklam doğrulama kontrollerini ve çoğu zaman güvenlik çözümlerini de atlayabildiği ayrıcalıklı bir kötü amaçlı yazılım dağıtım vektörü olmaya devam ediyor.

Karşılaştığımız her yeni kötü amaçlı reklam kampanyasını aktif olarak takip ediyor ve raporluyoruz. Üçüncü tarafların kötü amaçlı reklamlara karşı ne zaman harekete geçeceğini her zaman kontrol edemediğimiz için en büyük önceliğimiz, yeni kötü amaçlı yazılım etki alanlarını ve örneklerini engelleyerek müşterilerimizin korunmaya devam etmesini sağlamaktır.

Hem bireysel hem de kurumsal kullanıcılarımız bu tehditlere karşı korunmaktadır.

Teşekkür

Kötü amaçlı yazılım araştırmacısı ve Open Analysis’in kurucu ortağı Sergei Frankoff’a HiroshimaNukes damlatıcısı konusundaki yardımlarından dolayı teşekkür ederiz.

Uzlaşma Göstergeleri

Vaka #1 IOC’ler

Tanım Gösterge
Sahte Yakınlaştırma sitesi bizi yakınlaştır[.]teknoloji
İndirme URL’si bizi yakınlaştır[.]tech/ZoomInstaller.zip
Sahte Zoom arşivi (ZoomInstaller.zip) fd524641d2be705d76feb0453374c5b2ad9582ced4f00bb3722b735401da2762
Kötü amaçlı DLL (libcrypto-3-zm.dll) 30fda67726f77706955f6b52b202452e91d5ff132783854eec63e809061a4b5c
Hırsız yükü 5b917d04d416cafaf13ed51c40b58dc8b4413483ea3f5406b8348038125cad0b
Hırsız C2 94.131.110[.]127

Vaka #2 IOC’ler

Tanım Gösterge
Sahte Yakınlaştırma sitesi z00nn.bağlanmak için tek platform[.]grup
Sahte Yakınlaştırma sitesi bilgi yakınlaştırma uygulaması[.]iletişim
Sahte Yakınlaştırma sitesi zoomnewonly[.]alan
Sahte Yakınlaştırma sitesi zoonn[.]sanal toplantılar[.]cn[.]iletişim
Sahte Yakınlaştırma sitesi promosyon uygulaması yakınlaştırma[.]iletişim
İndirme URL’si hikayeler[.]com/fonts/Zoom-x64.msix
İndirme URL’si Windows-rar’ları[.]shop/bootstrap/Zoom-x64.msix
İndirme URL’si şema[.]site/apps.store/ZoomInstaller.msix
Kurulum (Zoom-x64.msix) dcb80bd21bd6900fe87423d3fb0c49d8f140d5cf5d81b662cd74c22fca622893
Kurulum (Zoom-x64.msix) 44cac5bf0bab56b0840bd1c7b95f9c7f5078ff417705eeaaf5ea5a2167a81dd5
Yükleyici (ZoomInstaller.msix) 462df2e4a633e57de0d5148060543576d7c1165bf90e6aec4183f430d8925a1c
Şifrelenmiş yük URL’si göz kırpanlar[.]net/ld/zm.tar.gpg
FakeBat C2 2311yabancı[.]xyz



Source link