Fransa’yı hedef alan ve WarmCookie kötü amaçlı yazılımını ele geçirilen web siteleri aracılığıyla yayan, devam eden sahte bir Google Chrome güncelleme çalışması fark edildi. WarmCookie, kimlik avı işlemleri yoluyla sisteme erişim sağlamak için kullanılan bir Windows kötü amaçlı yazılımıdır.
Daha fazla veriyi yaymayı ve hedef ağları incelemeyi amaçlayan iki aşamalı bir arka kapıdır. Çoğunlukla iş tekliflerini taklit eden kimlik avı çabaları yoluyla yayılır.
Sıcak çerezler, parmak izi makineleri olarak kullanılabilir, ekran görüntüleri alabilir, çalınan verileri sızdırabilir, dosyaları okuyabilir ve yazabilir ve komutları almak için bir komut ve kontrol (C&C) sunucusuyla etkileşime girebilir.
Sahte Güncelleme Kampanyasına Genel Bakış
Gen Threat Labs, WarmCookie’nin de güncellendiğini iddia ediyor.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
En son sürüm aşağıdaki komutları destekler:
- CPU kimliğini ve bellek boyutunu alın
- Ekran görüntüleri al
- Programları kaldırma reg anahtarı aracılığıyla numaralandırma
- cmd.exe /c aracılığıyla cmd yürütme ve sonuçları POST yoluyla geri gönderme
- Dosyayı kurbana yazın
- Dosyayı okuyun ve geri gönderin
- DLL dosyasını %TEMP% dosyasına yazın ve rundll32.exe aracılığıyla çalıştırıp çıktıyı geri gönderin.
- 8 ile aynıdır ancak “Başlat /güncelle” argümanlarıyla başlar
- Kendini %TEMP%’ye kopyalar
WarmCookie kötü amaçlı yazılımı, bir kullanıcı FakeUpdate bulaşmış web sayfasını tıkladığında indirilir. Kurulduktan sonra daha sonraki işlemler için C&C ile iletişime geçer, ekran görüntüsünü alır, komutu yürütür ve diskteki verileri çalar.
Haziran ayında, Elastic Security Labs, WarmCookie kötü amaçlı yazılımını yaymak için iş ve işe alımla ilgili tuzakları kullanan bir kimlik avı girişimi hakkında bir rapor yayınladı.
Nisan ayının sonundan bu yana saldırı zincirleri fark edildi ve Hays, Michael Page ve PageGroup gibi iş bulma kurumlarından gelen e-posta mesajları, alıcıları bir iş fırsatıyla ilgili bilgilere erişmek için gömülü bir bağlantıya tıklamaya ikna etmek için kullanıldı.
Bu nedenle, güncellemelerin güvenilirliğini kontrol etmek için proaktif eylemlerde bulunarak ve sağlam güvenlik çözümleri benimseyerek kullanıcılar, bu tür karmaşık saldırıların kurbanı olma şansını önemli ölçüde azaltabilir.
IoC’ler:
- güncellemechrllom[.]iletişim
- javadevssdk[.]commizilaupgrade[.]iletişim
- kenar yükseltme[.]Comelrifeno[.]iletişim
- /temp/Install_x64[.]exe
- 44faed020d5d8b29918a3f02d757b2cfada675
- 74cf9e02748ea7f75ba5878907
- 38[.]180[.]91[.]117
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri