Siber güvenlik araştırmacıları, Mart 2024’ün başından itibaren, IcedID kötü amaçlı yazılımının halefi olduğuna inanılan yeni bir kötü amaçlı yazılım yükleyicisi olan Latrodectus’u sunan e-posta kimlik avı kampanyalarında bir artış gözlemledi.
Elastic Security Labs araştırmacıları Daniel Stepanic ve Samir Bousseaden, “Bu kampanyalar genellikle, WMI’nin msiexec.exe’yi çağırma ve uzaktan barındırılan bir MSI dosyasını, uzaktan bir WEBDAV paylaşımında barındırılan yükleme yeteneğini kullanan, büyük boyutlu JavaScript dosyalarını içeren tanınabilir bir enfeksiyon zincirini içerir.” dedi.
Latrodectus, QakBot, DarkGate ve PikaBot gibi ek yükleri dağıtmak üzere tasarlanmış kötü amaçlı yazılımlardan genellikle beklenen standart yeteneklerle birlikte gelir ve tehdit aktörlerinin istismar sonrası çeşitli faaliyetler yürütmesine olanak tanır.
En son Latrodectus eserlerinin analizi, çalışan dosyaları silmek için kendi kendini silme tekniğinin dahil edilmesinin yanı sıra numaralandırma ve yürütmeye de yoğun bir şekilde odaklanıldığını ortaya çıkardı.
Kötü amaçlı yazılım, meşru yazılımla ilişkili kütüphaneler gibi görünmenin yanı sıra, kaynak kodu gizlemeyi kullanır ve hata ayıklama veya korumalı alan ortamında yürütülmesinin daha fazla ilerlemesini önlemek için analiz karşıtı kontroller gerçekleştirir.
Latrodectus ayrıca zamanlanmış bir görev kullanarak Windows ana bilgisayarlarında kalıcılık kurar ve sistem bilgilerini toplamasına izin veren komutları almak için HTTPS üzerinden bir komut ve kontrol (C2) sunucusuyla iletişim kurar; kendini güncelleme, yeniden başlatma ve sonlandırma; ve kabuk kodunu, DLL’yi ve yürütülebilir dosyaları çalıştırın.
Geçen yılın sonlarında ortaya çıkmasından bu yana kötü amaçlı yazılıma eklenen iki yeni komut arasında, masaüstü dizinindeki dosyaları numaralandırma ve virüslü makineden çalışan tüm süreç kökenlerini alma yeteneği yer alıyor.
Ayrıca, C2 sunucusundan IcedID’yi (komut kimliği 18) indirip yürütmek için bir komutu da destekliyor, ancak Elastic bu davranışı doğada tespit etmediğini söyledi.
Araştırmacılar, “IcedID ile Latrodectus arasında kesinlikle bir tür geliştirme bağlantısı veya çalışma düzenlemesi var” dedi.
“Değerlendirilen hipotezlerden biri, LATRODECTUS’un IcedID’nin yerine geçmek üzere aktif olarak geliştirildiği ve kötü amaçlı yazılım yazarları Latrodectus’un yeteneklerinden memnun kalana kadar işleyicinin (#18) dahil edildiğidir.”
Gelişme, Forcepoint’in DarkGate kötü amaçlı yazılımını dağıtmak için fatura temalı e-posta tuzaklarından yararlanan bir kimlik avı kampanyasını incelemesiyle ortaya çıktı.
Saldırı zinciri, QuickBooks faturaları gibi görünen kimlik avı e-postalarıyla başlıyor ve kullanıcıları, kötü amaçlı bir Java arşivine (JAR) yönlendiren yerleşik bir bağlantıya tıklayarak Java yüklemeye teşvik ediyor. JAR dosyası, DarkGate’in bir AutoIT betiği aracılığıyla indirilmesinden ve başlatılmasından sorumlu bir PowerShell betiğini çalıştırmak için bir kanal görevi görür.
Sosyal mühendislik kampanyaları ayrıca Microsoft 365 ve Gmail oturum çerezlerini toplamak ve çok faktörlü kimlik doğrulama (MFA) korumalarını atlamak için Tycoon adlı hizmet olarak kimlik avı (PhaaS) platformunun güncellenmiş bir sürümünü de kullandı.
Proofpoint, “Bu yeni sürüm, güvenlik sistemlerinin kiti tanımlamasını ve engellemesini daha da zorlaştıran gelişmiş tespitten kaçınma yeteneklerine sahip” dedi. “Gizliliğini ve etkinliğini artırmak için kitin JavaScript ve HTML kodunda önemli değişiklikler uygulandı.”
Bunlar, kaynak kodunun anlaşılmasını zorlaştıran gizleme tekniklerini ve her çalıştırıldığında kodda ince ayar yapmak için dinamik kod oluşturmanın kullanılmasını ve böylece imza tabanlı tespit sistemlerinden kaçınılmasını içerir.
Mart 2024’te tespit edilen diğer sosyal mühendislik kampanyaları, Calendly ve Rufus’un kimliğine bürünen Google reklamlarından yararlanarak D3F@ck Loader olarak bilinen ve ilk olarak Ocak 2024’te siber suç forumlarında ortaya çıkan ve sonuçta Raccoon Stealer ve DanaBot’u bırakan başka bir kötü amaçlı yazılım yükleyicisini yaymaya başladı.
“D3F@ck Loader örneği, hizmet olarak kötü amaçlı yazılımın (MaaS) nasıl gelişmeye devam ettiğini gösteriyor. [Extended Validation] Siber güvenlik şirketi eSentire geçen ayın sonlarında, “güvenilir güvenlik önlemlerini atlamak için sertifikalar kullanıyor” dedi.
Açıklama aynı zamanda Fletchen Stealer, WaveStealer, zEus Stealer ve Ziraat Stealer gibi yeni hırsız kötü amaçlı yazılım ailelerinin ortaya çıkışını da takip ediyor; hatta Remcos uzaktan erişim truva atının (RAT) yeteneklerini artırmak için bir PrivateLoader modülü kullandığı tespit edilmiş durumda.
“VB komut dosyalarını yükleyerek, kayıt defterini değiştirerek ve kötü amaçlı yazılımı değişken zamanlarda veya kontrol yoluyla yeniden başlatacak hizmetleri ayarlayarak, [Remcos] SonicWall Capture Labs tehdit araştırma ekibi, kötü amaçlı yazılımın bir sisteme tamamen sızabildiğini ve tespit edilmeden kalabildiğini söyledi.