Siber suçlular, Visual Studio Code Marketplace’e sızan yeni keşfedilen kötü amaçlı yazılım saldırısında görüldüğü gibi, geliştirici ortamlarını giderek daha fazla silah haline getiriyor.
Basitçe kimlik bilgilerini toplayan veya kripto para birimi madenciliği yapan tipik uzantıların aksine, bu karmaşık saldırı, kurbanın masaüstünün ekran görüntülerini etkin bir şekilde yakalayarak kodlarını, özel e-postalarını ve Slack gibi iletişim araçlarını etkili bir şekilde gözetliyor.
Kötü amaçlı yazılım, görünüşte meşru iki uzantı aracılığıyla dağıtılıyor: karanlık bir tema olan “Bitcoin Black” ve çalışan bir kodlama asistanı olan “Codo AI”.
Her ikisi de aynı yayıncı olan “BigBlack”ten geliyor ve yüklerini teslim etmeden önce şüphelenmeyen kullanıcıların güvenini kazanmak için sosyal mühendislik taktikleri kullanıyor.
.webp)
Bu uzantılar yüklendikten sonra standart veri hırsızlığının çok ötesine geçen bir dizi kötü amaçlı etkinliği başlatır. Pano içeriğini toplamak, çalışan işlemleri listelemek ve depolanan WiFi şifrelerini virüslü makineden çıkarmak için tasarlanmıştır.
Kötü amaçlı yazılımın Chrome ve Edge’i başsız modda başlatarak tarayıcı oturumlarını ele geçirmesi ve saldırganların oturum çerezlerini çalmasına ve kimlik doğrulama korumalarını atlamasına olanak sağlaması nedeniyle etkisi oldukça ciddi.
Bu düzeyde bir izinsiz giriş, geliştiricinin iş istasyonunu tamamen tehlikeye atılmış bir gözetim düğümüne dönüştürür ve yalnızca kişiyi değil, tüm kuruluşun fikri mülkiyetini ve ağ erişim ayrıntılarını açığa çıkarır.
Koi güvenlik analistleri, “Bitcoin Black” ve “Codo AI” uzantılarının davranış kalıplarını analiz ettikten sonra bu tehdidi tespit etti.
Araştırmaları, saldırganın karmaşık PowerShell komut dosyalarından daha akıcı yürütme yöntemlerine doğru evrimini vurguladı.
Teslimat mekanizması
Araştırmacılar, kötü amaçlı yazılımın sürümlerini takip ederek, tehdit aktörünün güvenilirliği artırmak için dağıtım mekanizmalarını basitleştirdiğini, parola korumalı ZIP dosyalarından curl gibi yerel sistem araçlarını kullanarak doğrudan indirmelere geçiş yaptığını gözlemledi.
Bu kararlılık ve uyarlanabilirlik, kararlı bir düşmanın, maksimum verimlilik için ticari becerilerini geliştirmeye odaklandığının sinyalini veriyor.
.webp)
Bu saldırının önemli bir bileşeni, tespitten kaçınmak ve kalıcılık sağlamak için kullanılan DLL ele geçirmedir. Kötü amaçlı yazılım, kötü amaçlı bir DLL dosyasıyla birlikte “Lightshot” olarak bilinen popüler ekran görüntüsü aracının meşru, imzalı bir yürütülebilir dosyasını indirir.
İmzalı yürütülebilir dosya çalıştığında, orijinal DLL yerine otomatik olarak saldırganın DLL’sini yükler; bu teknik, genellikle bilinen ikili dosyaları beyaz listeye alan güvenlik filtrelerini atlar.
Kötü amaçlı kod daha sonra kullanıcının AppData klasöründe bir hazırlama dizini oluşturur ve birden fazla bulaşmayı önlemek için “COOL_SCREENSHOT_MUTEX_YARRR” adlı benzersiz bir muteks kullanarak varlığını bildirir.
Bu akıllı kılık değiştirme, bilgi hırsızının hassas verileri bir komuta ve kontrol sunucusuna sızdırırken gizlice çalışmasına olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
