Dolandırıcılık Yönetimi ve Siber Suçlar, Sosyal Mühendislik
Güvenliği Tehlikeye Uğramış Web Sitelerine İlişkin Bildirimler Chrome, Firefox ve Edge Tarayıcıların Kimliğine Taklit Ediyor
Prajeet Nair (@prajeetspeaks) •
17 Ekim 2023
Siber suçlular, kötü amaçlı yazılımları ele geçirilen web sitelerinde sahte tarayıcı güncellemeleri olarak kullanıyor. Chrome, Firefox ve Edge tarayıcılarına yönelik sahte güncellemeler, şüphelenmeyen kullanıcıları veri çalabilecek, cihazları ele geçirebilecek veya fidye yazılımı dağıtabilecek kötü amaçlı yazılım indirmeye yönlendiriyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Proofpoint araştırmacıları, sahte tarayıcı güncelleme tuzakları sunmak için benzer özelliklere sahip ayrı kampanyalar kullanan SocGholish, RogueRaticate, SmartApeSG ve ClearFake dahil olmak üzere dört farklı tehdit kümesini gözlemledi.
Araştırmacılar, “Sahte tarayıcı güncellemelerinin kullanılması, insanları tarayıcılarının güncel olmadığına ikna etmek için benzersiz teknik yetenekleri sosyal mühendislikle birleştiren ilginç bir tehdittir” dedi. “Sahte tarayıcı güncelleme tuzağının, verileri çalabilecek, bir bilgisayarı uzaktan kontrol edebilecek ve hatta fidye yazılımına yol açabilecek çeşitli kötü amaçlı yazılımlara yol açtığı görüldü.”
Araştırmacılar kötü amaçlı yazılım dağıtımının üç farklı aşamasını buldu:
- 1. Aşama: Meşru ancak güvenliği ihlal edilmiş bir web sitesine kötü amaçlı enjeksiyon;
- 2. aşama: Yemin ve kötü niyetli yükün barındırılması;
- Sahne 3: Yükün indirildikten sonra bir ana bilgisayarda yürütülmesi.
Sahte tarayıcı güncellemeleri, trafiği kötü amaçlı bir etki alanına yönlendiren JavaScript veya HTML enjekte edilmiş kod kullanan ve kurbanın web tarayıcısına özel bir tarayıcı güncelleme cazibesi ile web sayfasının üzerine yazabilen tehdit aktörleri tarafından kontrol edilmektedir.
Daha sonra kullanıcılardan son veriyi sağlayan bir “tarayıcı güncellemesi” indirmeleri istenir.
Araştırmacılar, aynı zamanda dağıtımcı olan tehdit aktörü TA569’un, SocGholish kötü amaçlı yazılımını yaymak için beş yılı aşkın süredir sahte tarayıcı güncellemeleri kullandığını tespit etti.
Saldırganlar daha önce ABD’li bir medya şirketi tarafından işletilen düzinelerce gazete web sitesini hedeflemek için SocGholish’i kullanmıştı (bkz.: WastedLocker Fidye Yazılımı ABD Gazete Şirketini Hedef Alıyor).
Son Kampanyalar
En son kampanya, diğer tehdit aktörlerinin de bu yöntemi benimsediğini, yem ve yük sağlamak için kendi yaklaşımlarını kullanarak ve aynı sosyal mühendislik taktiklerinden yararlandıklarını gösteriyor.
Saldırganlar, Aşama 2 alanlarına yönlendirmeden önce istekleri filtreleyen çeşitli aktör kontrollü alanlar aracılığıyla Keitaro trafik dağıtım sistemini kullanan bir enjeksiyon kullandı.
İkinci yöntemde TA569, enjekte ettiği kodu gizlemek ve istekleri Aşama 2 alanlarına yönlendirmeden önce benzer filtreleme uygulamak için Parrot TDS’yi kullanır. Güvenliği ihlal edilen web sitelerinde, SocGholish yüklerinin dağıtımına yol açan Parrot TDS enjeksiyonlarını içeren yaklaşık 10 kötü amaçlı JavaScript dosyası bulunuyor.
TA569 tarafından kullanılan üçüncü ve son yöntem, ele geçirilen web sitesi HTML’sinde Aşama 2 alanına ulaşan basit bir JavaScript eşzamansız komut dosyası isteğidir.
Araştırmacılar, “Enjeksiyonların çeşitliliği, filtrelemenin çeşitli aşamaları nedeniyle savunucuların hem kötü niyetli enjeksiyonun yerini belirlemesini hem de trafiği yeniden oluşturmasını zorlaştırıyor” dedi.
Proofpoint araştırmacıları, SocGholish enfeksiyonlarının aynı zamanda uzaktan erişim Truva atı yükleri olarak AsyncRAT ve NetSupport RAT’ı da kullandığını söyledi.