Yakın tarihli bir siber güvenlik analizi, sinyal, çizgi ve gmail gibi popüler uygulamaların kötü amaçlı kurulumcusu aracılığıyla Çince konuşan kullanıcıları hedefleyen bir kampanyayı ortaya çıkardı.
Bu geri yüklenen yürütülebilir ürünler, şüpheli olmayan kullanıcıları kötü amaçlı yazılım yüklü dosyaları indirmeye teşvik etmek için manipüle edilmiş arama motoru sonuçlarını kullanır.
Saldırganlar, bu tehlikeye atılan uygulamaları dağıtmak için ilgisiz alanlarda barındırılan sahte indirme sayfaları da dahil olmak üzere aldatıcı taktikler kullanıyor.
Sofistike teknikler tespitten kaçınma
Resmi URL’leri taklit eden geleneksel kimlik avı şemalarından farklı olarak, bu kampanya “ggyxx.wenxinzhineng gibi jenerik ve ilgisiz alan adları aracılığıyla çalışıyor[.]üst ”ve“ linoo.wenxinzhineng[.]tepe.”
Bu alanlar, Hong Kong’daki Alibaba sunucularında bulunan merkezi altyapıda barındırılmaktadır.
Saldırganlar, kullanıcıları yürütülebilir kötü amaçlı yazılım içeren zip dosyaları sunan bu hileli sayfalara yönlendirmek için arama motoru optimizasyonu (SEO) zehirlenmesine güvenir.
Yürütme üzerine, kötü amaçlı yazılım geçici dosya çıkarma, işlem enjeksiyonu ve sistem modifikasyonu içeren çok aşamalı bir işlem başlatır.
Özellikle, tüm C: \ Drive’ı hariç tutarak Windows Defender’ı devre dışı bırakmak için PowerShell komutlarını kullanır.
Bu taktik, kötü amaçlı yazılımın sistemi tehlikeye atarken tespit edilmemesini sağlar.
Hedeflenen uygulamalar
Sahte indirme sayfaları yaygın olarak kullanılan uygulamaları taklit eder:
- Sinyal: Sahtekarlık Site “Z1.XIOWU[.]PW ”, sinyal yükleyicisi olarak gizlenmiş bir Windows yürütülebilir ürün içeren“ SRIGUOE-I4.ZIP ”adlı bir zip dosyası sunar.
- Astar: İki alan, “linoo.wenxinzhineng[.]Üst ”ve“ Linegut[.]com, ”Levinech-en.zip gibi dosyalar sunan benzer kötü amaçlı sayfalara ev sahipliği yapıyor.
- Gmail: Hileli site “ggyxx.wenxinzhineng[.]Üst ”bir oturum açma sayfası olarak Masquerades ancak bunun yerine kullanıcıları sahte bir Gmail notifer uygulaması yükleyen“ Goongeurut.zip ”indirmelerini ister.
Hunt araştırmacılarına göre, kötü amaçlı yazılımlar tutarlı bir yürütme modeli takip ediyor.
Kullanıcının masaüstünden ilk yürütüldükten sonra, AppData dizinine geçici dosyalar bırakır ve kötü niyetli işlemleri derin iç içe geçen yollara enjekte eder.
Ayrıca, potansiyel veri eksfiltrasyonu veya diğer talimatlar için komut ve kontrol (C2) sunucularına giden bağlantılar oluşturur.
Temel göstergeler şunları içerir:
- Alanlar: 47.243.192 gibi IP adresleri olan Alibaba sunucularında barındırıldı[.]62.
- Dosya Adları: “Sriguoe-i4.zip” gibi zip arşivleri ve “svrnezcm.exe” gibi yürütülebilir ürünler.
- Ağ Etkinliği: DNS sorguları “zhzcm.star1ine gibi alan adlarına[.]com ”ve 8.210.9 gibi IP’lere giden TCP bağlantıları[.]4.
Bu kampanya, belirli kullanıcı demografisini hedefleyen kötü amaçlı yazılım dağıtım taktiklerinin gelişen karmaşıklığını vurgulamaktadır.
Saldırganlar, markalı olmayan alanlardan yararlanarak ve arama motorlarını manipüle ederek, resmi satıcıları doğrudan taklit etmeden geniş bir ağ oluşturmayı hedefliyor.
Güvenlik uzmanları ve kullanıcıları, yazılım kaynaklarını titiz bir şekilde doğrulamaya ve güvenilmeyen indirme sitelerine karşı uyanık kalmaya çağırılır.
Gelişmiş tehdit algılama önlemleri, bu tür gelişmiş kötü amaçlı yazılım kampanyalarının ortaya koyduğu riskleri azaltmaya yardımcı olabilir.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun