Cyble araştırmacıları, Google Chrome’un uygulamaya bağlı şifrelemesini atlamak için çift enjeksiyon teknikleri kullanan sofistike bir kötü amaçlı yazılım saldırısı keşfettiler.
Çerezleri Infostealer kötü amaçlı yazılımlardan korumak için geçen yıl Chrome uygulamaya bağlı şifreleme tanıtıldı, bu nedenle bu korumanın kullanıcı hesaplarına ve diğer hassas bilgilere potansiyel olarak erişebileceği saldırılar.
Bu hafta bir blog yazısında, Cyble araştırmacıları, bir PDF olarak gizlenmiş bir fermuar dosyasında kötü niyetli bir LNK dosyasını gizleyen ve ayrıca kötü niyetli bir XML projesinin kullanıcıları açmak için kandırmak için bir PNG gibi görünmesini sağlayan sofistike saldırıyı detaylandırdı.
Araştırmacılar, “Bu saldırı, hassas verileri çalırken tespitten kaçınmak için dosyasız yürütme, planlanmış görev kalıcılığından ve telgraf tabanlı iletişimden yararlanıyor” diye yazdı.
“MSBuild.exe’den yararlanarak ve çift enjeksiyon tekniği kullanarak, kötü amaçlı yazılım doğrudan bellekte yürütülür ve tespit edilmesini zorlaştırır. Chrome’un uygulamaya bağlı şifrelemesini atlama ve kimlik bilgilerini çıkarma yeteneği, etkisini daha da güçlendiriyor. ”
Sofistike Chrome uygulamaya bağlı şifreleme bypass detaylı
Cyble araştırmacıları, dosya adlarının kötü amaçlı yazılımın “muhtemelen Vietnam’daki kuruluşları, özellikle de telem pazarlama veya satış sektörlerinde” hedeflediğini gösterdiğini söyledi.
Kötü amaçlı yazılımın başlangıçta nasıl teslim edildiği açık değil.
Araştırmacılar, kötü amaçlı C# kodu dağıtmak için Microsoft Build Engine kullanarak her 15 dakikada bir çalıştıran planlanmış bir görev oluşturan bir LNK dosyası içeren enfeksiyon zincirinin derinlemesine bir analizini sağladılar.
Kısayol dosyası, bir XML proje dosyasını temp dizinine kopyalar ve MSBuild.exe’yi XML dosyasından yerleşik C# kodunu yürütmesi için başlatan planlanan görevi oluşturma komutu başlatır. Araştırmacılar, “Kötü amaçlı kod, MSBUILD.EXE işlemi içinde çalışır ve sistemin mimarisine göre farklı bileşenler kullanır” diye yazdı.
Kötü amaçlı yazılımlar tarafından kullanılan çift enjeksiyon tekniği – proses enjeksiyonu ve yansıtıcı DLL enjeksiyonu – “diskte izler bırakmadan bellekte kötü amaçlı kodları gizlice yürütmesini ve geleneksel güvenlik çözümlerinin algılamasını zorlaştırmasını sağlar.”
Komut ve Kontrol için kullanılan Telegram Web API’si
Kötü amaçlı yazılım, Tehdit Oyuncusu (TA) ile komut ve kontrol iletişimi oluşturmak için Telegram Web API’sını kullanır ve kötü amaçlı yazılım “TA’nın gerektiğinde telgraf bot kimliğini ve sohbet kimliğini değiştirmesini sağlar ve iletişim kanallarını kontrol etmede esneklik sağlar.”
Araştırmacılar, “Pessfiltrasyon ve dinamik bot kimlik anahtarlaması için Telegram Web API’sının kullanılması, enfekte olmuş sistemler üzerinde sürekli kontrol sağlıyor” dedi.
Tehdit oyuncusu, bu bağlantıyı bir şifreleme anahtarını çalmak için Chrome uygulamasına bağlı şifrelemeyi atlamak, özel bir bilgi çalkayı dağıtmak ve çerezler ve giriş verileri de dahil olmak üzere Chrome tarayıcısından hassas kullanıcı verilerini yaymak gibi bir dizi komut yayınlamak için kullanabilir.
Bu tür saldırılara düşmeyi önlemek için Cyble, kuruluşların kullanıcı eğitimi almasını, katı e -posta eki filtreleme ve uygulama beyaz listeleme uygulamasını ve diğer savunma adımlarının yanı sıra dosya yürütme yollarını ve uzantıları sınırlamasını önerdi.
Tam Cyble Blog, enfeksiyon zinciri, iletişim ve pesfiltrasyonun derinlemesine analizini, uzlaşma göstergelerini (IOCS) ve MITER ATT & CK tekniklerini içerir.