Mispadu Bankacılık Kötü Amaçlı Yazılımlarını Sağlamak için Silahlandırılmış PDF Dosyaları


Bilgisayar Korsanları Mispadu Bankacılık Kötü Amaçlı Yazılımlarını Yaymak İçin Silahlı PDF Dosyaları Kullanıyor

Başlangıçta Latin Amerika'yı hedef alan bir bankacılık truva atı olan Mispadu, kimlik avı e-postaları ve kötü amaçlı URL'ler yoluyla kimlik bilgilerini çalarak saldırılarını Avrupa'ya genişletti.

Saldırganlar çalınan kimlik bilgilerini daha fazla kimlik avı saldırısı için kullanıyor ve bu da onu önemli bir tehdit haline getiriyor.

Coğrafi genişlemeye rağmen, Nisan 2023'ten bu yana çalınan binlerce kimlik bilgisi ile Meksika birincil hedef olmaya devam ediyor.

Enfeksiyon zinciri birden fazla aşamadan oluşur, ancak asıl değişiklikler başlangıç ​​aşamalarında meydana gelir.

Enfeksiyon Zinciri
Enfeksiyon Zinciri

Kimlik avı e-postası, PDF eki içeren bir fatura bildirimi gibi görünüyor. Morphisec, PDF içindeki bir düğmeye tıklamanın, ücretsiz bir e-posta hizmetinde barındırılan ve muhtemelen kötü amaçlı yükü içeren kısaltılmış bir URL'den bir ZIP dosyasının indirilmesini tetiklediğini söyledi.

ZIP dosyasını indirme
ZIP dosyasını indirme

VB Komut Dosyası Aşamaları

Kötü amaçlı yazılım, bir MSI veya HTA dosyası olarak gelir; her ikisi de sonuçta birinci aşama VB komut dosyasını dağıtır; MSI, komut dosyasını bırakan gizli bir komutun şifresini çözmek için özel bir DLL işlevi kullanır ve HTA da benzer bir komut kullanır.

CustomActions altında DLL'yi çağırmak.
CustomActions altında DLL'yi çağırmak.

Algılamayı önlemek için, VB betiği bellekte çalışır ve Internet Explorer'ın onu çalıştırdığını doğrulamak için Kullanıcı Aracısı dizesinde “(MSIE)” olup olmadığını kontrol eder.

İkinci Aşama VB Komut Dosyası
İkinci Aşama VB Komut Dosyası

Geçerliyse, bir sonraki aşama yükü için bir komut ve kontrol sunucusuyla iletişim kurar; bu, ilk MSI veya HTA enfeksiyon yönteminden bağımsız olarak aynıdır.

Oldukça karmaşık hale getirilmiş komut dosyası, sistem verilerini bilinen sanal makine profilleriyle karşılaştırarak sanal makineleri kontrol eder ve dili doğrular ve “JOHN-PC” adlı makinelerde yürütülmesini önler ve bu kontroller başarılı olursa komut dosyası, gizlenmiş üç dosyayı indirir.

Sonucun ekran görüntüsü
Sonucun ekran görüntüsü

Morphisec'e göre, ilki, son Mispadu yükünün şifresini çözer ve ikincisi, indirilen ve şifresi çözülen meşru bir AutoIT yürütülebilir dosyası tarafından çalıştırıldığında, bir DLL yükleyen, derlenmiş bir AutoIT betiği içeren bir arşivin şifresini çözer ve bu, son Mispadu yükünün şifresini çözer ve belleğe enjekte eder. rapor.

Arşiv formuna şifresi çözülen dosyalar
Arşiv formuna şifresi çözülen dosyalar

Derlenmemiş AutoIT komut dosyası pasajı, önce şifre çözme mantığını içeren bir DLL yükleyerek ve bir VB komut dosyasının daha önce indirdiği bir yükün şifresini çözerek kötü amaçlı kod enjekte eder, ardından DLL'den dışa aktarılan bir işlevi çağırır.

Derlenmiş AutoIT Betiği
Derlenmiş AutoIT Betiği

Şifresi çözülen veri, muhtemelen kötü amaçlı yazılım, meşru bir Windows işlemine (attrib.exe veya RegSvcs.exe) enjekte edilir, bu da kötü amaçlı kodu gizler ve tespit edilmesini zorlaştırır.

attrib.exe veya RegSvcs.exe'ye enjekte etme.
attrib.exe veya RegSvcs.exe'ye enjekte etme.

Mispadu'nun son yükü, kullanıcı etkinliğini aktif olarak izleyerek ve finans ve e-posta uygulamalarıyla ilgili belirli dizeleri arayarak web tarayıcılarından ve e-posta istemcilerinden şifreleri çalmak için WebBrowserPassView ve MailPassView meşru araçlarını kullanır.

Kimlik bilgisi hırsızlığı için 200'den fazla farklı hizmeti hedeflemesine olanak tanırken, çalınan veriler bir komuta ve kontrol sunucusuna (C2) iki parça halinde yüklenir:

ilk olarak, e-posta istemcisi kimlik bilgilerini ve tarayıcı şifrelerini; ikincisi, daha sonra muhtemelen daha fazla kimlik avı saldırıları için silah haline getirilecek olan, toplanan e-posta adreslerinin bir listesi.

Kötü amaçlı kimlik avı e-postalarını hazırlamak ve dağıtmak.
Kötü amaçlı kimlik avı e-postalarını hazırlamak ve dağıtmak.

Saldırgan iki C2 sunucusu kullanır:

biri ilk saldırı yüklerini sağlamak için, diğeri ise kimlik bilgilerini çalmak için; ilk sunucu sürekli değişirken, sızıntı sunucusu kampanyalar arasında tutarlı kalıyor.

Çalınan kimlik bilgilerinin analizi, Nisan 2023'ten bu yana devam eden bir saldırıyı ortaya koyuyor ve şu anda sızıntı sunucusunda 60.000'den fazla dosya bulunuyor.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiitter.





Source link