Araştırmacılar tarafından özellikle Meksika’daki kurbanları hedef alan yeni bir Mispadu hırsızı türü tespit edildi. Mispadu hırsızının bu çeşidi, sistemdeki kötü amaçlı yükleri indirmek ve yürütmek için Windows SmartScreen güvenlik açığı CVE-2023-36025’i kullanıyor.
Mispadu hırsızı Delphi dilinde yazılmıştır ve ilk olarak Kasım 2019’da tespit edilerek Brezilya ve Meksika’daki kullanıcıları hedef almıştır. Daha ileri analizlerde, bu hırsızın yamayı bypass etmeyen CVE’nin yayınlanmasından önce bile dağıtıldığı keşfedildi.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Mispadu Kötü Amaçlı Yazılım Windows SmartScreen’i İstismar Ediyor
Cyber Security News ile paylaşılan raporlara göre Windows SmartScreen özelliği, kullanıcıları zararlı web sitelerini ziyaret etmeye karşı korumak için bir uyarı görüntüleyecek şekilde tasarlandı. Ancak bu özellik, özel hazırlanmış bir URL dosyası tarafından atlanabilir.
Bu URL dosyası veya köprü, saldırganların ağ paylaşımına, zararlı bir web sitesinden bir ikili dosya indirmek için bir bağlantı içerecektir; bu, URL yerine bir ağ paylaşımına başvuran bir parametreyi kötüye kullanarak Windows SmartScreen uyarısını atlar.
Saldırı Vektör Analizi
Kötü amaçlı yazılım kurbanın sistemine indirilip çalıştırıldıktan sonra, GMT’yi hesaplayarak sistemin belirli bir saat dilimine ait olup olmadığını kontrol etmek için öncelikle saat dilimi ve UTC hakkında bilgi toplar. Analiz sonucunda kötü amaçlı yazılımın yalnızca Batı Avrupa’nın belirli bölgelerinde ve Amerika kıtasının çoğu bölgesinde çalıştığı görüldü.
Kötü amaçlı yazılım, bcrypt.dll kitaplığı aracılığıyla çeşitli şifre çözme işlemleri için AES şifreleme algoritmasını kullanır. Ayrıca, kötü amaçlı yazılımın yürütülmesi sırasında kullanılacak belirli dosyaların depolanacağı %TEMP% dizinini de tanımlar.
Kötü amaçlı yazılım, C2 iletişimi kurmak için sistemde çalışan Microsoft Windows sürümüne bağlı olarak bir HTTP veya HTTPS GET isteği gerçekleştirir.
C2 iletişimi kurulduktan sonra kötü amaçlı yazılım, Microsoft Edge ve Google Chrome tarayıcılarından geçmiş veritabanlarını toplamak için SQLite’ı kullanıyor ve bunları %TEMP% dizininde saklıyor. Bundan sonra, kötü amaçlı yazılım belirli koşullar altında URL’leri çıkarır ve bunları hedeflenen bir listeye göre kontrol eder.
Hedeflenen tüm URL’lerde (.), (,) olarak değiştirilecek, gruplandırılacak ve algoritmaya kaba kuvvet uygulanmasını önlemek için karma işlemi uygulanacaktır. Tüm bu bilgiler daha sonra C2’ye gönderilir ve daha sonraki siber suç faaliyetleri için kullanılabilir.
Kaynak kodu, kötü amaçlı yazılım analizi ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan Birim 42.
Uzlaşma Göstergeleri
Dosya Göstergeleri
- 8e1d354dccc3c689899dc4e75fdbdd0ab076ac457de7fb83645fb735a46ad4ea
- bc25f7836c273763827e1680856ec6d53bd73bbc4a03e9f743eddfc53cf68789
- fb3995289bac897e881141e281c18c606a772a53356cc81caf38e5c6296641d4
- 46d20fa82c936c5784f86106838697ab79a1f6dc243ae6721b42f0da467eaf52
- 03bdae4d40d3eb2db3c12d27b76ee170c4813f616fec5257cf25a068c46ba15f
- 1b7dc569508387401f1c5d40eb448dc20d6fb794e97ae3d1da43b571ed0486a0
- e136717630164116c2b68de31a439231dc468ddcbee9f74cca511df1036a22ea
Ağ Göstergeleri
- plinqok[.]iletişim
- trilivok[.]iletişim
- xalticayatırım[.]iletişim
- moscovatech[.]iletişim
- hxxp://trilivok[.]com/4g3031ar0/cb6y1dh/it.php
- hxxps://plinqok[.]com/3dzy14ebg/buhumo0/it.php
- 24.199.98[.]128/expediente38/8869881268/8594605066.exe
- 24.199.98[.]128/verification58/6504926283/3072491614.exe
- 24.199.98[.]128/impresion73/5464893028/8024251449.exe
En son siber güvenlik haberleri, teknik incelemeler, infografikler ve daha fazlası için bizi LinkedIn’de takip edin. Siber güvenlikteki en son trendlerden haberdar olun ve güncel kalın.