Yakın zamanda Morphisec’teki siber güvenlik araştırmacıları tarafından “SYS01stealer” adlı yeni bir bilgi hırsızı bulundu. Bu hırsız öncelikle aşağıdaki kritik altyapılardan gelen varlıkları hedefler:-
- Altyapı çalışanları
- Üretici firmalar
- Diğer kritik sektörler
Morphisec istihbarat ekibi, Kasım 2022’den beri bu gelişmiş bilgi hırsızını izliyor. Bu kampanyanın bir parçası olarak, tehdit aktörleri, Facebook işletme hesaplarını hedeflemek ve aşağıdakiler gibi şeylerin reklamını yapmak için Google reklamlarını ve sahte Facebook profillerini kullanıyor:-
- Oyunlar
- Yetişkin içerik
- Kırık yazılım
- Filmler/Diziler
Bu şekilde kurbanı cezbederler ve kötü niyetli dosyaları indirmelerini sağlarlar. Saldırıda, aşağıdakiler de dahil olmak üzere hassas bilgilerin çalınması amaçlanmaktadır:-
- Giriş verileri
- Kurabiye
- Facebook reklam hesap bilgileri
- Facebook işletme hesabı bilgileri
Başlangıçta, kampanyanın finansal olarak motive edilen Ördek Kuyruğu siber suç operasyonuyla bağlantılı olduğuna inanılıyordu.
Facebook Reklamlarını Kullanan Bilgisayar Korsanları
Saldırıyı başlatmak için, sahte bir Facebook profili veya reklamı, kurbanları bir URL’ye tıklamaya ikna etmek için yem olarak kullanılır. Saldırganlar bu URL’ye tıklayarak kurbanın aşağıdaki öğeleri içermesi gereken bir ZIP dosyası indirmesini sağlar:-
- Başvuru
- oyun
- Film/Dizi
Tüm enfeksiyon zincirinin bölündüğü iki kısım vardır ve bunlar aşağıdaki gibidir: –
- yükleyici
- Inno-Setup yükleyicisi
Yükleyiciler, normalde yandan yükleme davranışları nedeniyle yandan yükleme güvenlik açığına karşı savunmasız olabilecek yasal C# uygulamalarıdır. Uygulama içinde, sonunda bulaşma için yandan yüklenen kötü amaçlı bir DLL dosyası gizlidir.
Western Digital’in WDSyncService.exe ve Garmin’in ElevatedInstaller.exe’nin, kötü amaçlı DLL dosyasını yandan yüklemek için istismar edilen uygulamalardan bazıları olduğu bulundu.
Bunun dışında, Python ve Rust tabanlı ara yürütülebilir dosyalar bazen yandan yüklenen DLL aracılığıyla dağıtılır.
Bir montajcının teslimatına ulaşmak için hangi yaklaşım benimsenirse benimsensin, tüm yolların oraya çıktığını unutmamak önemlidir. Burada SYS01stealer, bu yükleyici tarafından bırakılan ve yürütülen PHP tabanlı bir kötü amaçlı yazılımdır.
Etkilenen Tarayıcılar
Hırsız, en popüler tarayıcı olan Chromium’da çalışan web tarayıcılarından Facebook çerezlerini gizlice toplar. Ve aşağıda Chromium tabanlı web tarayıcılarının adlarından bahsetmiştik: –
- Google Chrome
- Microsoft Kenarı
- Cesur
- Opera
- Vivaldi
Sonuç olarak, kurbanın tüm Facebook bilgileri uzak bir sunucuya aktarılır, ayrıca rastgele dosyalar indirilir ve çalıştırılır.
- Buna ek olarak, aşağıdaki yeteneklere sahiptir:
- C2 sunucusunu virüslü ana bilgisayara bağlayın ve dosyaları yükleyin.
- Sunucu tarafından sağlanan komutları ve talimatları izleyin.
- Yeni bir sürüm çıkar çıkmaz kendini güncelleyecektir.
Öneri
Windows sistemlerini kötü amaçlı kod yüklemeleri için kandırmak için DLL yandan yükleme son derece etkili bir tekniktir. Bir uygulamanın belleğe yüklenmesi sırasında, arama sırasına uyulmazsa, meşru dosyaya tercih edilerek kötü amaçlı dosya yüklenir.
Bu, meşru, güvenilir uygulamalar ele geçirildiğinde bile tehdit aktörlerinin kötü amaçlı yükler yürütmesine olanak tanır.
SYS01 hırsızını önlemeye yardımcı olmak için program indirme ve yükleme söz konusu olduğunda sıfır güven ilkesi uygulamak ve kullanıcı haklarını sınırlamak önemlidir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin