Araştırmacılar, sahte Google Chrome hata ekranlarına sahip bir web sayfası kullanan yeni bir kötü amaçlı yazılım kampanyası ve kampanyanın Şubat 2023’ten beri aktif olarak kötü amaçlı yazılım dağıttığını tespit etti.
Tehdit aktörleri, sosyal mühendislik tekniklerinin yardımıyla kurbanları sistemdeki kötü amaçlı yazılımı çalıştırmaları için kandırır. Bu durumda, kötü amaçlı yazılımı dağıtmak için birkaç Japon web sitesinin güvenliği ihlal edilmiştir.
Kötü Amaçlı Yazılım sonunda aşağıdaki işleve sahip bir Monero madencisini düşürür:
- Kendisini updater.exe adı altında C:\Program Files\Google\Chrome klasörüne kopyalayın.
- Meşru conhost.exe’yi başlatın ve enjeksiyonu işleyin
- Görev zamanlayıcı ve kayıt defterini kullanmaya devam etti
- Windows Defender dışlama ayarları
- Windows Update ile ilgili hizmetleri durdurun
- Hosts dosyasını yeniden yazarak güvenlik ürünlerinin iletişimine müdahale etmek.
Kötü Amaçlı Yazılım Bulaşma Süreci:
Saldırganlar birkaç meşru web sitesini ele geçirdi ve tahrif etti ve aşağıdaki parametrelerin yardımıyla kötü amaçlı kod enjekte edildi.
Bağlantının bir mtizndu2 parametresi var ve 123456’nın küçük harfli MTIzNDU2 base 64 kodlu versiyonu olması gerekiyor.
Bu durumda, Komut Dosyası etiketleri aşağıdakilerin JavaScript kodunu yükler ve yürütür ve saldırganlar kodu analiz etmek için bazı engelleme teknikleri kullanır.
Aşağıdaki kod bu saldırı için kullanıyor:
NTT Data raporuna göre, “Çerezleri kullanan erişim kontrolüne ek olarak, yüklenen JavaScript kodu, hedefi daraltmak için bir işlev ve sahte bir hata ekranı görüntüleyen bir URL’ye yönlendirmek için bir işlem içerir.”
Saldırganlar ayrıca erişim kontrolü için bir Çerez anahtarı (c122eba0264bfd7e383f015cecf59fbd) kullandı ve bunun için MD5 değeri “yagamilight”.
Sonuçlarda, kurbanlar aşağıdakilerin sahte bir Hata ekranını göreceklerdir; JavaScript kodu bir ZIP dosyası indirir.
Zip dosyası “chromium-patch-nightly” olarak adlandırılır ve Chrome için bir yama güncellemesi gibi görünür.
Görüntülenen sahte hata ekranının dili, tahrif edilecek web sitesine göre değişir. Japonca’ya ek olarak SOC, İspanyolca ve Korece’yi onayladı ve birden çok dili destekliyor. Araştırmacılar söyledi.
Araştırmacılar, tahrif edilen bazı web sitelerinin Japon web sitelerini içerdiğine ve etkinin yaygın ve ciddi olduğuna inanıyor. Gelecekte de devam edebilir, bu yüzden dikkatli olun.
IoC’ler
- 38[.]147.165.60
- 103[.]150.180.49
- 156[.]251.189.56
- 38[.]147.165.50
- 162[.]19.139.184
- Birleşik[.]xyz
- hızlıjscdn[.]org
- kromlistcdn[.]bulut
- krom hatası[.]ortak
- xmr.2 madenciler[.]iletişim
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin