LummaC2 Kötü Amaçlı Yazılımı Steam Oyun Platformunu C2 Sunucusu Olarak Kullanıyor


Siber güvenlik uzmanları, popüler Steam oyun platformunu Komuta ve Kontrol (C2) sunucusu olarak kullanan LummaC2 kötü amaçlı yazılımının gelişmiş bir türünü ortaya çıkardı.

Bu yeni taktik, kötü amaçlı yazılımın dağıtımında ve çalışma mekanizmalarında önemli bir evrimi işaret ediyor ve dünya çapındaki kullanıcılar ve kuruluşlar için daha yüksek bir tehdit oluşturuyor.

LummaC2’nin Yükselişi

LummaC2, crack, keygen ve oyun hileleri gibi yasa dışı programlar gibi görünerek aktif olarak dağıtılan bilgi çalan bir kötü amaçlı yazılımdır.

Bu kötü amaçlı dosyalar, SEO zehirlenmesi adı verilen bir teknik kullanılarak dağıtım siteleri, YouTube, LinkedIn ve hatta arama motoru reklamları dahil olmak üzere çeşitli kanallar aracılığıyla yayılır.

Son zamanlarda kötü amaçlı yazılımın Notion, Slack ve Capcut gibi meşru uygulamalar gibi görünmesi de etki alanını daha da genişletti.

ASEC ahnlab raporlarına göre, LummaC2 başlangıçta tek bir yürütülebilir (EXE) dosya olarak veya kötü amaçlı bir DLL’in meşru bir EXE dosyasıyla birlikte sıkıştırıldığı DLL-SideLoading yoluyla dağıtıldı.

Bu yöntem, kötü amaçlı yazılımın birçok güvenlik sisteminin radarının altında kalarak yükünü yürütmesine olanak sağladı.

Tek EXE biçiminde dağıtım (sol), DLL biçiminde dağıtım (sağ)
Tek EXE biçiminde dağıtım (sol), DLL biçiminde dağıtım (sağ)

C2 Alanları için Steam’i Kullanma

LummaC2, son versiyonunda C2 alan bilgilerini elde etmek için Steam oyun platformunu istismar ederek yeni bir yaklaşım benimsedi. Daha önce, tüm C2 bilgileri kötü amaçlı yazılım örneğinin içine gömülüydü.

Join our free webinar to learn about combating slow DDoS attacks, a major threat today.

Ancak saldırganlar, Steam gibi meşru bir platformu kullanarak C2 etki alanını dinamik olarak değiştirebilir, bu sayede kötü amaçlı yazılımın dayanıklılığını artırabilir ve tespit edilme olasılığını azaltabilir.

Bu teknik tamamen yeni değil; TikTok, Mastodon ve Telegram gibi çeşitli meşru platformları kullanarak C2 bilgilerini elde etme geçmişi olan Vidar kötü amaçlı yazılımının kullandığı stratejiyi yansıtıyor.

LummaC2 exploit Steam sayfası (sol), Vidar exploit Steam sayfası (sağ)
LummaC2 exploit Steam sayfası (sol), Vidar exploit Steam sayfası (sağ)

Şifre çözme ve yürütme

Çalıştırma sırasında, LummaC2, C2 etki alanı bilgilerini elde etmek için dahili şifreli dizelerini şifresini çözer. Şifreleme, her örnek yaklaşık 8 ila 10 C2 etki alanı içeren Base64 ve tescilli bir algoritma kullanır.

C2 alan şifre çözme kodu
C2 alan şifre çözme kodu

Kötü amaçlı yazılım, tüm gömülü C2 etki alanlarına erişilemezse bir Steam bağlantı rutini başlatır. C2 etki alanının aksine, Steam URL’si yürütülebilir kodda saklanır ve şifre çözme algoritması farklıdır.

Steam URL’si saldırgan tarafından oluşturulduğu düşünülen bir Steam hesap profil sayfasına işaret ediyor. Kötü amaçlı yazılım, bu sayfadaki “actual_persona_name” etiketini ayrıştırarak bir dize elde ediyor ve ardından C2 etki alanını ortaya çıkarmak için Sezar şifresi kullanılarak şifresi çözülüyor.

Steam hesap sayfası kaynağı
Steam hesap sayfası kaynağı

Dinamik C2 Alan Yönetimi

Steam gibi geniş bir kullanıcı tabanına sahip meşru bir alan adını kullanmak, şüpheleri azaltmaya yardımcı olur ve saldırganın gerektiğinde C2 alan adını kolayca değiştirmesine olanak tanır.

Bu esneklik, saldırının başarı oranını artırıyor ve güvenlik sistemlerinin kötü amaçlı yazılımı engellemesini zorlaştırıyor.

C2 etki alanı şifresi çözüldüğünde, LummaC2 C2 sunucusuna bağlanır ve şifrelenmiş bir ayarlar JSON dosyasını indirir. Bu dosya daha sonra şifresi çözülür ve kötü amaçlı yazılım ayarlara göre çeşitli kötü amaçlı eylemler gerçekleştirir.

Çalınan bilgiler C2 sunucusuna geri gönderilir ve şunları içerir:

  • Cüzdan programı bilgisi
  • Tarayıcı depolama bilgileri
  • Şifre depolama programı bilgisi
  • Kullanıcı dizinindeki TXT dosyaları
  • Messenger programı bilgisi
  • FTP program bilgisi
  • VPN program bilgisi
  • Uzaktan program bilgisi
  • Memo programı bilgisi
  • Posta programı bilgisi
  • Tarayıcı eklentisi eklentisi (sanal para cüzdanı) bilgisi
LummaC2 ayarlarının bir parçası JSON
LummaC2 ayarlarının bir parçası JSON

Steam oyun platformunun LummaC2 zararlı yazılımı tarafından istismar edilmesi, siber tehditlerde önemli bir artışa işaret ediyor.

Meşru ve yaygın olarak kullanılan bir platformdan yararlanan saldırganlar, C2 etki alanlarını dinamik olarak yönetebilir, böylece kötü amaçlı yazılımı daha dayanıklı ve tespit edilmesi daha zor hale getirebilirler.

Bu gelişme, gelişen siber tehditlere karşı korunmak için daha fazla dikkat ve gelişmiş güvenlik önlemlerine ihtiyaç duyulduğunu ortaya koyuyor.

Öneriler

LummaC2 ve benzeri kötü amaçlı yazılımların oluşturduğu riski azaltmak için kullanıcılar ve kuruluşlar şunları yapmalıdır:

  1. Yasadışı Yazılım İndirmekten Kaçının: Güvenilmeyen kaynaklardan crack, keygen ve oyun hileleri indirmekten kaçının.
  2. Güvenilir Güvenlik Yazılımı Kullanın: Bu tür tehditleri tespit edip engelleyebilen gelişmiş antivirüs ve kötü amaçlı yazılım önleme çözümlerini kullanın.
  3. Yazılımı Düzenli Olarak Güncelleyin: Bilinen güvenlik açıklarına karşı koruma sağlamak için güvenlik programları da dahil olmak üzere tüm yazılımların güncel olduğundan emin olun.
  4. Kullanıcıları Eğitin: Bilinmeyen dosyaları indirmenin ve çalıştırmanın tehlikeleri hakkında farkındalığı artırın ve güvenli çevrimiçi uygulamaları teşvik edin.
  5. Ağ Trafiğini İzle: Kötü amaçlı yazılım bulaşmasını gösterebilecek olağandışı trafik modellerini tespit etmek için ağ izleme araçlarını uygulayın.

Kullanıcılar ve kuruluşlar bu önlemleri alarak LummaC2’nin karmaşık taktiklerine ve diğer gelişen siber tehditlere karşı daha iyi savunma sağlayabilirler.

Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo



Source link