Büyük ölçekli kimlik hırsızlığı ve cüzdan uzlaşma operasyonlarını düzenlerken, siber suçlu manzarada bir eğitim aracı olarak maskelenen sofistike yeni bir tehdit ortaya çıktı.
Nodejs tabanlı bir Hizmet Olarak Kötü Yazılım (MAAS) bilgi çalma olan Novableght, siber suç erişilebilirliğinde bir evrim ile ilgili bir evrimi temsil eder ve neredeyse herkesin gelişmiş veri hırsızlığı yeteneklerini minimal teknik uzmanlıkla dağıtmasına izin verir.
Başlangıçta sahte video oyunu yükleyici indirmeleri aracılığıyla keşfedilen kötü amaçlı yazılım kampanyası, kötü amaçlı yükleri dağıtmak için meşru görünen uygulamalardan yararlanan siber suçluların artan eğilimini göstermektedir.
Novableght’ın arkasındaki tehdit aktörleri, yeraltı pazarları aracılığıyla kötü niyetli niyetinin ve ticari dağıtımının açık kanıtlarına rağmen, ürünlerini stratejik olarak bir eğitim aracı olarak konumlandırdılar.
.webp)
Aldatıcı pazarlama yaklaşımı, kimlik bilgisi hasat ve kripto para hırsızlığı için hazır çözümler arayan siber suçlular arasında yaygın olarak benimsenmeyi sağladı.
Elastik analistler Novableght’ı, Nova Sentinel ve Malicord’dan sorumlu aynı tehdit aktörleri olan Sordese Grubunun en son yaratımı olarak tanımladılar.
Grup, operasyonel iletişimlerinde Fransızca yeterliliğini göstermektedir, iş dünyasını öncelikle yıllık lisanslar sundukları ve ceza müşterilerine teknik destek sundukları telgraf ve anlaşmazlık platformları aracılığıyla yürütür.
Kötü amaçlı yazılım dağılımına bu profesyonel yaklaşım, siber suçları özel bir beceriden kolayca erişilebilir bir hizmete dönüştürmüştür.
Kötü amaçlı yazılımların saldırı vektörleri öncelikle sosyal mühendislik tekniklerine odaklanır ve araştırmacılar, ilk erişim vektörleri olarak sahte video oyunu yükleyicilerini kullanan kampanyaları belgelemektedir.
.webp)
Dikkate değer bir örnek, http: // golfishe alanını içeriyordu[.]Com, bu da kullanıcıları, yakın zamanda yayınlanan Steam başlıklarıyla karşılaştırılabilir meşru bir Fransız dil oyun yükleyicisi gibi görünen şeyi indirmeye itti.
Bu yaklaşım, kapsamlı bir veri hırsızlığı yükü sunarken kullanıcıların oyun platformlarına olan güveninden yararlanır.
Enfeksiyon mekanizması ve kalıcılık mimarisi
Novatight, tespit mekanizmalarından kaçarken kalıcı erişim sağlamak için tasarlanmış sofistike çok aşamalı bir enfeksiyon süreci kullanır.
Kötü amaçlı yazılım mimarisi, sanal makineler, hata ayıklama araçları ve güvenlik yazılımı için hedef ortamı değerlendiren uçuş öncesi kontrollerle başlayarak net bir boru hattı yapısı izler.
.webp)
“Flow/Init” olarak adlandırılan başlangıç aşaması, API.Nova-Blight dahil olmak üzere birden çok alanda barındırılan komut ve kontrol altyapısı ile iletişim kurarken kapsamlı sistem numaralandırması gerçekleştirir.[.]Top ve Shadow.nova-Blight[.]tepe.
Kalıcılık mekanizması, Windows güvenlik özelliklerini ve Görev Yöneticisi erişimini devre dışı bırakmak için kayıt defteri manipülasyonu da dahil olmak üzere çeşitli gelişmiş teknikler içerir.
Kötü amaçlı yazılım, kayıt defteri anahtarını değiştirmeye çalışır HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System ayarlayarak DisableTaskMgr 1’e değer, kullanıcıların kötü niyetli işlemleri kolayca sonlandırmasını etkili bir şekilde önler.
Ayrıca, NovabLight, ICACLS komutunu kullanarak dosya sistemi değişikliklerini uygular: icacls "${filePath}" /deny ${currentUser}:(DE,DC) DE’nin Sil haklarını ve DC’nin üst klasör işlemleri aracılığıyla silinmeyi önler.
Kötü amaçlı yazılımın pano izleme işlevi, kripto para birimi cüzdanı adresleri ve PayPal işlem detayları için sürekli tarama yapan en sinsi yeteneklerinden birini temsil eder.
Eşleşen kalıpları algılarken, Novablight, yapılandırma bayrağında gösterildiği gibi, meşru adresleri saldırgan kontrollü alternatiflerle değiştirir swapWallet.active.
Bu kesme modülü, mağdurlar tarafından başlatılan finansal işlemlerin genellikle kurban tarafından hemen tespit edilmeden siber suçlu kontrollü hesaplara yönlendirilmesini sağlar.
Novatight’ın veri söndürme özellikleri, kapsamlı sistem profili, web kamerası kaydı ve hedefli uygulama enjeksiyonunu içeren basit kimlik hırsızlığının ötesine uzanır.
Kötü amaçlı yazılım özellikle Discord, Exodus cüzdanı ve Mullvad VPN istemcisi gibi elektron tabanlı uygulamaları, https: //api.nova-blight’dan dinamik olarak getirme enjeksiyon yüklerini hedefler.[.]Üst/ enjeksiyonlar/ uç noktalar.
Bu modüler yaklaşım, kötü amaçlı yazılımların belirli hedef profiller arayan tehdit aktörleri için operasyonel esnekliği korurken güncellenmiş uygulamalara karşı etkili kalmasını sağlar.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin