Kripto Uygulama Kullanıcılarının kimlik bilgilerini ve cüzdanları çalmasını hedefleyen yeni JScoal Saldırısı


Kripto Uygulama Kullanıcılarının kimlik bilgilerini ve cüzdanları çalmasını hedefleyen yeni JScoal Saldırısı

Kripto para birimi uygulama kullanıcılarını hedefleyen gelişmiş yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı ve derlenmiş JavaScript dosyalarını ve node.js’yi, eşi görülmemiş bir stealth ile dijital cüzdanları ve kimlik bilgilerini çalmak için ortaya çıktı.

JScial olarak adlandırılan kampanya, siber suçlu taktiklerde önemli bir evrimi temsil ederek, büyük ölçeği ve dağılımına rağmen büyük ölçüde tespit edilmesine izin veren ileri kaçış tekniklerini kullanıyor.

Kötü niyetli operasyon en azından Mart 2024’ten beri aktif, tehdit aktörleri sadece 2025’in ilk yarısında yaklaşık 35.000 kötü amaçlı reklamı teşvik ederek Avrupa Birliği’nde milyonlarca görüş üretiyor.

Google Haberleri

Kampanya, Binance, Bybit, OKX ve TradingView ve Metatrader gibi ticaret platformları gibi büyük borsalar da dahil olmak üzere yaklaşık 50 meşru kripto para ticaret platformunu taklit ediyor ve şüphesiz kullanıcıları kandırmak için tasarlanmış ikna edici sahte uygulamalar yaratıyor.

Check Point araştırmacıları, bu kampanyayı derlenmiş JavaScript dosya yürütmelerinin devam eden analizi ile belirlediler, bu da JSCeal’ın benzersiz dağıtım metodolojisinin keşfedilmesine yol açtı.

Kötü amaçlı yazılım, derlenmiş JavaScript (JSC) yüklerini yürütmek, geleneksel güvenlik mekanizmalarından kötü amaçlı kodları etkili bir şekilde gizlemek ve statik analizi son derece zor hale getirmek için node.js kullandığı için siber suçlu taktiklerde dikkate değer bir değişimi temsil eder.

JScoal’ı geleneksel kötü amaçlı yazılımlardan ayıran şey, yaygın dağılıma rağmen oldukça düşük algılama oranıdır.

Bu kampanyayla ilişkili yüzlerce örnek Virustotal’a sunuldu ve saldırganların kaçınma stratejilerinin etkinliğini göstererek uzun süre tespit edilmedi.

Kampanyanın modüler, çok katmanlı enfeksiyon akışı, operatörlerin operasyonun her aşamasında yeni taktikleri ve yükleri uyarlamalarını sağlayarak güvenlik karşı önlemlerine karşı özellikle esnek hale getirir.

Soyut enfeksiyon akışı (kaynak – kontrol noktası)

Saldırı, sosyal medya platformlarında, özellikle de tehdit aktörlerinin tehlikeye atılan hesapları veya sahte kripto para birimi ile ilgili içeriği teşvik etmek için yeni oluşturulan profilleri kullandıkları kötü niyetli reklamlarla başlar.

Bu reklamlar, IP adresi aralıklarına ve yönlendirici bilgilerine dayalı hedefleri filtreleyen, istenmeyen ziyaretçilere tuzak web sitelerini görüntüleyen ve meşru hedefleri sahte açılış sayfalarını ikna etmeye yönlendiren sofistike yeniden yönlendirme mekanizmaları kullanır.

Gelişmiş enfeksiyon mekanizması ve kalıcılık taktikleri

Enfeksiyon zinciri, aynı anda çalışması için hem kötü amaçlı web siteleri hem de kurulu bileşenler gerektiren çok bileşenli mimarisi aracılığıyla dikkate değer teknik gelişmişlik gösterir.

İlk dağıtım enfeksiyon akışı (kaynak – kontrol noktası)

Mağdurlar meşru bir MSI yükleyicisi gibi görünen şeyleri indirdiğinde, dosya planlanan görev oluşturma için Taskscheduler.dll ve sistem keşif komutları için wmi.dll dahil olmak üzere birkaç kritik bileşeni dağıtan bir özelleştirme işlevi çağırır.

Profilleme aşaması için enfeksiyon akışı (kaynak – kontrol noktası)

Kötü amaçlı yazılım, belirli Windows olay günlük girişlerinde tetiklenen XML yükleri tarafından tanımlanan ustaca planlanmış bir görev mekanizması yoluyla kalıcılık oluşturur.

Bu görev, önce kötü amaçlı yazılımları Windows Defender taramasından hariç tutan kodlanmış PowerShell komut dosyalarını yürütür Add-MpPreference -ExclusionProcess (Get-Process -PID $PID).MainModule.ModuleName -Forcedaha sonra komut ve kontrol sunucuları ile sürekli iletişimi sürdüren bir PowerShell arka kapısı başlatır.

Son yük teslimatı, derlenmiş JavaScript dosyaları olarak çekirdek JScoal kötü amaçlı yazılımları içeren Node.js çalışma zamanı arşivleri aracılığıyla gerçekleşir.

Son aşama enfeksiyon akışı (kaynak – kontrol noktası)

Kötü amaçlı yazılım, C2 sunucuları ile TRPC bağlantıları kurar ve web trafiğini kesen, bankacılık ve kripto para birimi web sitelerine gerçek zamanlı olarak kötü amaçlı komut dosyaları enjekte eden yerel bir proxy dağıtır.

Bu tarayıcı işlevselliği, anahtarlama, ekran görüntüsü yakalama ve kripto para birimi cüzdan manipülasyonu gibi kapsamlı veri toplama özellikleriyle birleştiğinde, JSCEAL’i dijital varlık güvenliği için zorlu bir tehdit haline getirir.

Kampanyanın büyük ölçekte faaliyet gösterirken bu kadar düşük algılama oranlarını koruma yeteneği, modern siber suçlu operasyonların gelişen karmaşıklığını, özellikle de çalınan kimlik bilgilerinin ve cüzdan erişiminin saldırganlar için anında finansal getiri sağlayabileceği kazançlı kripto para birimi sektörünü hedefleyenlerin altını çiziyor.

Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin



Source link