Tehdit aktörleri, bir kredi kartı şirketinin güvenlik e-posta kimlik doğrulama açılır penceresine hassas kullanıcı bilgilerine karşı maskelenen kötü niyetli bir LNK dosyası kullandı.
“Card_Detail_20250610.html.lnk” olarak adlandırılan dosya, bir finansal kurumdan meşru bir HTML belgesi olarak kendisini rutin güvenlik prosedürlerine güvenen kullanıcı güvenini kullanıyor.
Tarihsel olarak, bu aktörler Keylogging ve Veri Defiltrasyonu için PowerShell komut dosyalarına güveniyorlardı, ancak bu varyant gelişmiş gizli için indirilen bir DLL’ye geçiyor.
Enfeksiyon mekanizması
Tespitten kaçınmak için, LNK dosyası bir tuzak dosyasının yanında yürütülür ve kullanıcı dikkatini kötü niyetli etkinlikten yönlendiren bir kredi kartı kimlik doğrulama arayüzünü taklit eden meşru bir HTML belgesi.
Bu, PDF’ler veya kelime dosyaları gibi geleneksel belge tabanlı tuzaklardan, web tabanlı etkileşimlerle sorunsuz bir şekilde karışan HTML biçimlerine evrimi temsil eder.
Yürütme üzerine LNK dosyası, saldırganın sunucusundan ek bir HTA (HTML uygulaması) dosyasını ve yem HTML belgesini sistemin geçici klasöründe saklayarak ve çalıştırır.
Yem belgesi, kullanıcıları etkileşim kurmaya ve enfeksiyonu daha da maskelemeye yönlendiren ikna edici bir açılır pencere görüntüler.
HTA komut dosyası daha sonra “sys.dll” adlı kötü niyetli bir DLL ve daha fazla yük için URL’ler içeren bir metin dosyası oluşturur ve bunları C: \ Users {Username} \ AppData \ Yerel Dizini’ye yerleştirir.
Bu DLL, temel kötü niyetli davranışları başlatarak Rundll32.exe aracılığıyla çağrılır. URL’leri user.txt, sys.dll’de referans alarak, bunları doğrudan belleğe eşlemek için yansıtıcı DLL enjeksiyonu kullanan üç ek DLLS uygulaması, net ve notepad.log indirir.
Gelişmiş kötü amaçlı yazılımlarda yaygın olan bu teknik, disk tabanlı adli tıp atlar ve uç nokta algılama ve yanıt (EDR) sistemlerini karmaşıklaştırır.
Özellikle, “APP” DLL, güvenilir bir tarayıcı ortamında kalıcı işlemleri sağlayan aktif bir Chrome.exe işlemine enjekte edilir.
Kötü amaçlı yazılım işlevleri
İndirilen bileşenler özel infostealer ve arka kapı özellikleri sergiler.
“Uygulama” DLL, krom, cesur ve kenardan tarayıcı verilerini hedefler, kimlik bilgilerini, çerezleri ve oturum bilgilerini çıkarır.
Bunu tamamlayan “net” DLL, Chrome, Opera, Firefox’tan veri hasat ederek, Google, Yahoo, Facebook ve Outlook gibi hizmetler, giriş eserlerine ve e -posta içeriğine odaklanarak genişletir.
Bu arada, “Notepad.log”, uzaktan kabuk komutlarını yürütme, dosya listeleri derleme, belgeleri söndürme, ek dosya indirme ve anahtarlama verilerini iletebilen çok yönlü bir arka kapı olarak işlev görür.
Anahtarlama çıkışları, ASEC’nin yakalanan numuneler analizinde kanıtlandığı gibi, bellekte de gözlemlenebilen izler ile C: \ Users {kullanıcı Adı} \ AppData \ Local \ NetKey dizininde saklanır.
Bu kampanya, rakiplerin saygın kuruluşları infaz etmek için taklit ettiği LNK tabanlı saldırıların artan sofistike olmasının altını çiziyor.
Kullanıcılara beklenmedik dosyaları incelemeleri, gelişmiş tehdit korumasını etkinleştirmeleri ve etkileşimden önce kaynakları doğrulamaları tavsiye edilir.
ASEC, bu tür kötü amaçlı yazılım dağılımlarının devam ettiğini ve insan psikolojisini ve sistem güvenlik açıklarından yararlanmak için tekniklerin rafine olduğunu belirtiyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| MD5 | 046AAB6C2BCD4F8B70EDD14330F326B |
| MD5 | 71105E164F5838049AA9B1C634AB6047 |
| MD5 | 711082E6D27B3296B1CD261064E4F81 |
| MD5 | 94842649b102b5b7d605d254d3c03008 |
| MD5 | bf13ddd4bbfff1aa69976e63cc966addc |
| Url | https://cdn.glitch.global/b33b49c5-5e3d-4a33-b66b-c719b917fa62/app64.log |
| Url | https://cdn.glitch.global/b33b49c5-5e3d-4a33-b66b-c719b917fa62/main64.log |
| Url | https://cdn.glitch.global/b33b49c5-5e3d-4a33-b66b-c719b917fa62/net64.log |
| Fqdn | pkkfbv.webhop.me |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now