Microsoft, bilgi hırsızlığı ve veri açığa çıkabilen kötü amaçlı yükler sunmak için Node.js kullanan devam eden bir kötü niyetli kampanyaya dikkat çekiyor.
İlk olarak Ekim 2024’te tespit edilen etkinlik, kullanıcıları Binance veya TradingView gibi meşru yazılımlar olarak maskelenen hileli web sitelerinden bir haydut yükleyiciyi yüklemek için kripto para ticareti ile ilgili yemleri kullanıyor.
İndirilen yükleyici, Windows Yönetimi Enstrümantasyonu (WMI) kullanarak temel sistem bilgilerini hasat etmekten ve planlanan bir görev aracılığıyla ana bilgisayarda kalıcılığı ayarlamaktan sorumlu olan bir dinamik bağlantı kütüphanesi (“CustomActions.dll”) ile gömülüdür.
Ruse’u sürdürmek için DLL, meşru kripto para ticareti web sitesini görüntüleyen “msedge_proxy.exe” aracılığıyla bir tarayıcı penceresi başlatır. “Msedge_proxy.exe” nin herhangi bir web sitesini bir web uygulaması olarak görüntülemek için kullanılabileceğini belirtmek gerekir.
Bu arada, planlanan görev, PowerShell komutlarını, çalışan PowerShell sürecini ve geçerli dizinin, Microsoft Defender tarafından uç nokta için kenar nokta algılamasının bir yolu olarak taranmasından hariç tutmaya dikkat eden PowerShell komutlarını çalıştırmak üzere yapılandırılmıştır.
Exclusions ayarlandıktan sonra, operasyon sistemi, BIOS, donanım ve yüklü uygulamalarla ilgili kapsamlı bilgiler toplayabilen uzak URL’lerden komut dosyalarını almak ve çalıştırmak için gizlenmiş bir PowerShell komutu çalıştırılır.
Yakalanan tüm veriler JSON formatına dönüştürülür ve bir HTTPS sonrası isteği kullanılarak komut ve kontrol (C2) sunucusuna gönderilir.
Saldırı zinciri daha sonra C2’den Node.js çalışma zamanı ikili ve bir JavaScript derlenmiş (JSC) dosyasını içeren bir arşiv dosyası indirmek için başka bir PowerShell komut dosyası başlatıldığı bir sonraki aşamaya geçer. Node.js yürütülebilir, ağ bağlantıları ve muhtemelen sifon hassas tarayıcı bilgilerini oluşturmaya giden JSC dosyasının yürütülmesini başlatır.
Microsoft tarafından gözlemlenen alternatif bir enfeksiyon dizisinde, Node.js ikili olarak indirmek için kötü niyetli bir PowerShell komutu kullanarak satır içi JavaScript yürütmeyi etkinleştirmek için ClickFix stratejisi kullanılmıştır ve bir dosya yerine JavaScript kodunu doğrudan çalıştırmak için kullanın.
Satır içi JavaScript, yüksek değerli varlıkları tanımlamak için ağ keşif faaliyetleri gerçekleştirir, C2 trafiğini radarın altında uçmak için meşru bulutflare etkinliği olarak gizler ve Windows kayıt defteri çalıştırma anahtarlarını değiştirerek kalıcılık kazanır.
Tech Giant, “Node.js, JavaScript kodunun bir web tarayıcısının dışında çalışmasına izin veren açık kaynaklı, platformlar arası bir JavaScript çalışma zamanı ortamıdır.” Dedi. “Geliştiriciler tarafından yaygın olarak kullanılır ve güvenilir çünkü ön uç ve arka uç uygulamaları oluşturmalarına izin verir.”
“Bununla birlikte, tehdit aktörleri, kötü amaçlı yazılımları meşru uygulamalarla harmanlamak, geleneksel güvenlik kontrollerini atlamak ve hedef ortamlarda devam etmek için bu düğüm.js özelliklerinden yararlanıyor.”
Açıklama, CloudSek’in PDF Şekeri Taklit eden sahte bir PDF-Docx dönüştürücü sitesinin (Candyxpdf[.]com veya candyconverterpdf[.]com) kurbanları, sonuçta Sectoprat’ı (AKA ARECHClient2) kötü amaçlı yazan kodlanmış PowerShell komutlarına yönlendirmek için ClickFix sosyal mühendislik hilesinden yararlandığı bulundu.
Güvenlik araştırmacısı Varun Ajmera, bu hafta yayınlanan bir raporda, “Tehdit aktörleri, gerçek platformun kullanıcı arayüzünü titizlikle çoğalttı ve kullanıcıları aldatmak için benzer görünümlü alan adlarını kaydetti.” Dedi.
“Saldırı vektörü, kurbanları, tehlikeli sistemlerden hassas verileri hasat etmekle bilinen tehlikeli Sectoprat bilgi stealer ailesinin bir çeşidi olan Arechclient2 kötü amaçlı yazılımını yükleyen bir PowerShell komutunu yürütmeyi içeriyor.”
Kimlik avı kampanyaları, bordro portallarına yetkisiz erişim elde etmek ve mağdurların banka hesap bilgilerini tehdit aktörünün kontrolü altındaki bir hesaba yönlendirmek için insan kaynakları (İK) temalı dolandırıcılıkları hedeflemek için PHP tabanlı bir kit kullanılarak gözlemlenmiştir.
Bu etkinliklerden bazıları, Bordro Korsanları adlı bir hackleme grubuna atfedildi, saldırganlar, sponsorlu kimlik avı web siteleri ile kötü niyetli arama reklam kampanyaları kullanıyor ve google aracılığıyla, şüphesiz kurbanları kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını sağlamak için çekiyorlar.