Cyble Research and Intelligence Lab (CRIL) tarafından yapılan son araştırma, Latrodectus ve ACR Stealer tarafından kullanılan yeni bir kimlik avı planını ortaya çıkardı.
Bu kampanya, Google Güvenlik Merkezi’ni taklit etmek için tasarlanmış, kullanıcıları Google Authenticator gibi görünen kötü amaçlı yazılımları indirmeye kandırmayı amaçlayan sahte bir web sitesini içeriyor. Bu kimlik avı sitesi aracılığıyla iletilen kötü amaçlı yazılımlar arasında iki önemli tehdit bulunuyor: Latrodectus ve ACR Stealer.
CRIL’in analizi, “googleaauthenticator” adlı bir siteyi kullanan karmaşık bir kimlik avı operasyonunu ortaya koyuyor[.]com”, gerçek Google Güvenlik Merkezi’ne çok benziyor. Sitenin amacı, kullanıcıları meşru bir Google Authenticator uygulaması gibi görünen bir şeyi indirmeye kandırmaktır.
Ancak bu dosya aslında hem Latrodectus’u hem de ACR Stealer’ı kurbanın sistemine yükleyen kötü amaçlı bir yürütülebilir dosyadır.
Latrodectus ve ACR Stealer Kampanyalarının Kodunu Çözmek
Latrodectus ve ACR Stealer, her biri güvenliği tehlikeye atmayı amaçlayan belirli işlevlere sahip farklı kötü amaçlı yazılım türleridir. ACR Stealer, Komuta ve Kontrol (C&C) sunucu ayrıntılarını gizlemek için Dead Drop Resolver (DDR) olarak bilinen bir teknik kullanır.
Tespit edilmekten kaçınmak için bu bilgileri Steam Topluluk sitesi gibi görünüşte zararsız yerlere yerleştiriyor. Öte yandan Latrodectus, şifreleme yöntemlerinde yapılan güncellemeler ve yeni komutların eklenmesi de dahil olmak üzere aktif bir geliştirmenin izlerini taşıyor ve bu da devam eden iyileştirme ve artan karmaşıklığı gösteriyor.
Kimlik avı sitesi, kullanıcıları “hxxps://webipanalyzer” adresinden “GoogleAuthSetup.exe” adlı bir dosyayı indirmeye ikna etmek için Google’ın güvenilir markasını kullanıyor.[.]com/GoogleAuthSetup.exe.” Yanıltıcı bir “Yüklenemiyor” hata mesajı görüntülemesine rağmen, dosya ACR Stealer ve Latrodectus’u arka planda sessizce yüklüyor.
ACR Stealer etkinleştirildiğinde hassas bilgileri C&C sunucusuna sızdırırken, Latrodectus kurbanın makinesinde kalıcılığını sürdürür ve daha fazla kötü amaçlı faaliyet yürütür.
Latrodectus ve ACR Stealer Kampanyalarının Teknik Analizi
İndirilen dosya, meşru görünmesi için dijital olarak imzalanmış bir yükleyici gibi davranır. Yükleri gizlemek için şifreleme kullanır, yüklerin şifresi çözülür ve yürütüldüğünde %temp% dizinine kaydedilir. Daha sonra Latrodectus ve ACR Stealer bu dizinden etkinleştirilir.
Yükleyicinin sahte hata mesajı, kullanıcıları yanıltmak için tasarlanmıştır; kötü amaçlı yazılım gizlice çalışırken, kurulumun başarısız olduğuna inanmalarını sağlar.
Latrodectus, %appdata% dizininden çalışıp çalışmadığını kontrol etmek üzere programlanmıştır; eğer çalışmıyorsa, kendisini oraya kopyalar ve bu daha güvenli konumdan çalışır. Bu arada, SHA-256 karmasıyla tanımlanan ACR Stealer, hassas verileri çıkarmak için bir işlem başlatır ve DDR aracılığıyla C&C sunucusuyla iletişim kurar.
Bu yöntem, sunucunun konumunu meşru platformlara yerleştirerek gizler.
Son Gelişmeler ve Öneriler
Ekim 2023’te Walmart’tan araştırmacılar, Latrodectus’u bir blog yazısında vurgulayarak IcedID kötü amaçlı yazılımına benzerliğine dikkat çektiler. Latrodectus’a yapılan güncellemeler, şifreleme anahtarında değişiklikler ve komut setinde 11’den 12’ye bir artış içeriyor. Kötü amaçlı yazılımın yeni sürümü ayrıca, yalnızca oturum açma sırasında yürütülen önceki sürümlere kıyasla her 10 dakikada bir çalışan daha agresif bir yürütme zamanlamasına sahip.
Bu kimlik avı saldırısı, siber tehditlerin artan karmaşıklığını ve gelişmişliğini göstermektedir. Güvenilir bir Google hizmetini taklit ederek ve Latrodectus ve ACR Stealer’ı kullanarak, saldırganlar kullanıcı güvenini istismar etmek ve hassas bilgileri tehlikeye atmak için gelişmiş taktikler kullanmaktadır.
Bu tür saldırılara karşı korunmak için kullanıcılar Google Authenticator’ı yalnızca Google Play Store veya Apple App Store gibi resmi kaynaklardan indirmelidir. Reklamlara karşı dikkatli olmalı ve tıklamadan önce bağlantıları doğrulamalıdırlar. Kuruluşlar şüpheli etkinlik için reklam platformlarını izlemeli ve kimlik avı girişimlerini belirlemek için gelişmiş tehdit algılama araçları kullanmalıdır.
Ayrıca web sitesi URL’lerini doğrulamak, kimlik avı tanıma konusunda kullanıcı eğitimi vermek ve güçlü ağ güvenliği önlemleri uygulamak da büyük önem taşıyor.