Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Bilgi Hırsızı Ofisteki Kadim Kusurlardan Yararlanarak Kimlik Avı Yoluyla Başarılı Olmaya Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
14 Eylül 2023
İskandinav mitolojisinde Loki, yaşı, şekli ve cinsiyeti değiştirebilen korkak, düzenbaz bir tanrıdır. Kötü amaçlı yazılımın enkarnasyonu daha sıradan ve Microsoft kullanıcılarının verilerini çalmaya odaklanma eğiliminde.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
LokiBot, e-posta kimlik bilgilerinden, ödeme kartı verilerinden ve kripto para birimi cüzdan şifrelerinden, çok faktörlü kimlik doğrulamayı atlamak için gereken çerezlere ve sistem verilerine kadar her şeyi çalmak üzere tasarlanmış, bilgi çalan kötü amaçlı yazılım olarak adlandırılan çeşitli türlerden biridir.
Araştırmacılar, LokiBot’un, kullanım kolaylığı nedeniyle özellikle teknik açıdan daha az yetenekli bir müşteriye hitap ettiğini söylüyor; bu da, 2018’den bu yana neden olağandışı derecede ısrarcı olduğunu (en çok görülen beş kötü amaçlı yazılım türü arasında kaldığını) açıklamaya yardımcı oluyor.
Cofense tehdit analisti Madalynn Carr tarafından yazılan yeni bir rapora göre, saldırı girişimlerinin üçte ikisinde LokiBot kötü amaçlı yazılımı e-posta eki biçiminde geliyor. Diğer saldırı girişimlerinin çoğu, vakaların %82’sinde Microsoft Office’te altı yıl önce ortaya çıkan 23 yıllık bir bellek bozulması kusurunu hedeflemeyi içeren bir dağıtım mekanizması kullanıyor.
CVE-2017-11882 olarak adlandırılan bu kusur Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1 ve Microsoft Office 2016’da mevcuttur. Yamalı sürümlerde bu güvenlik açığından yararlanmaya yönelik birçok girişim başarılı olmaya devam ediyor.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bu kusuru, ulus devlet bilgisayar korsanlığı ekipleri ve suçlular tarafından sürekli olarak sömürülmeleri nedeniyle, “rutin olarak istismar edilen güvenlik açıkları” listesinde bu kusuru göstermeye devam etti.
LokiBot kullanan saldırganlar, hedeflere virüs bulaştırmak için yeni stratejiler denemeye devam ediyor. 2020 yılında CISA, kötü amaçlı yazılımın arkasındaki operatörlerin, kötü amaçlı yazılımı kurbanlardan gizlemek ve SMS ve LokiBot içeren diğer özel mesajlar yoluyla kimlik avı bağlantıları göndermek için kötü amaçlı web siteleri kullandıkları konusunda uyardı.
Bu yaz araştırmacılar, LokiBot’u düşürmek için kötü amaçlı Microsoft Office belgelerini kullanan saldırılarda bir artış gördükleri konusunda uyardılar. Saldırıların her biri şu iki kusurdan birini hedef alma eğilimindeydi:
- CVE-2021-40444 – Microsoft Office MSHTML uzaktan kod yürütme güvenlik açığı
- CVE-2022-30190 – Bir Microsoft Windows Destek Teşhis Aracı veya MSDT, uzaktan kod yürütme güvenlik açığı
LokiBot’un 8 Yılı
Araştırmacılar, LokiBot’un 2015 yılında “lokistov” tarafından siber suç forumlarında hem hırsız hem de yükleyici için 540 dolarlık bir satış fiyatıyla satışa sunulduğunu söyledi.
Cofense raporunda “LokiBot, düşük fiyatı ve kullanım kolaylığı nedeniyle tehdit aktörleri için popüler bir kötü amaçlı yazılım tercihi haline geldi” diyor. 2018’den beri “LokiBot, kimlik avı e-postaları yoluyla gönderilen ilk beş kötü amaçlı yazılım ailesi arasında yer alıyor.”
Bu, kötü amaçlı yazılımın 1. sürümünün kaynak kodunun 2018’de sızdırılmasına ve 80 dolar gibi düşük bir fiyata satılmasına rağmen gerçekleşti. Carr, kodun nasıl sızdırıldığına dair iki teori olduğunu söyledi. “Biri birisinin orijinal LokiBot’u tersine çevirerek kaynak kodunu toplaması ve ardından kötü amaçlı yazılımın kırık sürümünü yayınlaması” dedi. “Diğer teori ise Lokistov’un kendisinin hacklendiği ve hacker’ın çalınan versiyonu yayınladığı yönünde.”
Daha sonra, Lokistov’un kötü amaçlı yazılımın daha iyi kaçınma özelliklerinin yanı sıra genişletilmiş keylogger ve uzaktan erişim Truva Atı işlevlerine sahip olan 2. sürümünü geliştirdiğini söyledi.
Rapora göre, günümüzde kötü amaçlı yazılım, e-posta, FTP ve platformlar arası ekran paylaşım sistemi VNC dahil olmak üzere bir bilgisayardaki 100’den fazla farklı istemciden, 1Password ve KeePass dahil olmak üzere şifre yöneticilerine ve anlık mesajlaşma istemcilerine kadar kimlik bilgilerini çalma yeteneğini içeriyor diyor.
LokiBot’a Karşı Savunma
Araştırmacılar, LokiBot’un göreceli basitliğinin, savunucuların onu izlemesi koşuluyla fark edilmesini kolaylaştırdığını, çünkü yaptığı neredeyse her şeyin komuta ve kontrol iletişimini içereceğini söyledi.
Cofense, “LokiBot’un bir sisteme kurulmasını önlemenin birincil yolu, şüpheli e-postalardan gelen bilinmeyen indirmelere izin vermemektir” dedi ve çoğu antivirüs yazılımının kötü amaçlı yazılımları tespit edip engellemesi veya düzenli olarak sistemleri tarayacak şekilde ayarlanmışsa bulması gerektiğini ekledi.
Cofense, LokiBot’un öncelikle http aracılığıyla bir komut ve kontrol sunucusuyla iletişim kurduğunu ve kendisini tanımlamak için genellikle aynı Kullanıcı Aracısı istek başlık dizesini kullandığını söyledi: “Mozilla/4.08 (Charon; Inferno).” Olası LokiBot enfeksiyonlarını tespit etmek için kuruluşların bu Kullanıcı Aracısı dizisi için uyarılar ayarlamasını önerir.
Tomruk Pazarlarını Beslemek
LokiBot gibi bilgi hırsızları boşlukta çalışmaz. Bu tür kötü amaçlı yazılımların bir sistemden çaldığı bilgiler “bot” olarak bilinir ve botlar, Genesis, RussianMarket ve TwoEasy gibi özel siber suç pazarlarında veya BHF ve Dark2Web gibi forumlar aracılığıyla satılan “günlükler” halinde paketlenir ve Telegram mesajlaşma uygulaması kanalları.
Müşteriler, alakart günlük satın almak yerine, sıklıkla güncellenen “günlük bulutlarına” abone olabilirler (bkz.: Bilgi Çalan Kötü Amaçlı Yazılımlar ‘Günlük Bulutu’ Tekliflerini Dolduruyor).
Araştırmacıların bildirdiğine göre, kütük pazarlarını dolduran diğer popüler bilgi hırsızları arasında Raccoon, RedLine, Vidar, Taurus ve AZORult yer alıyor. Sürekli yeni oyuncular çıkıyor ve bu yıl aralarında Acrid Rain ve Typhon Stealer da yer alıyor.