Kimlik avı e-postaları yoluyla gönderilen kötü amaçlı bir Word belgesinin kullanıldığı ve kurbanların bir dizi kötü amaçlı yazılım yükünü başlatan bir yükleyiciyi indirmesine neden olan yeni bir siber saldırı girişimi keşfedildi.
OriginBotnet, RedLine Clipper ve Agent Tesla kullanılan yükler arasındaydı. OriginBotnet, tuş kaydı ve şifre kurtarma için, RedLine Clipper kripto para hırsızlığı için ve AgentTesla ise hassas bilgi toplama için kullanılır.
OriginBotnet’in Çalışması
FortiGuard Labs’a göre Word belgesi, sahte bir reCAPTCHA ve alıcıyı tıklaması için kandırmak amacıyla kasıtlı olarak bulanıklaştırılmış bir resim içeren bir kimlik avı e-postasının eki olarak teslim ediliyor.
OriginBotnet, özel bilgilerin toplanması, C2 sunucusuna bağlanma ve virüs bulaşmış Windows makinelerinde keylogging veya şifre kurtarma işlemlerini gerçekleştirmek için ekstra dosyalar indirme gibi çeşitli görevleri yerine getirme yeteneğine sahiptir.
Başlangıçta OriginBotnet, ortamda zaten çalışıp çalışmadığını görmek için çalışan işlemleri kontrol eder. Başlatmanın ardından, yüklü antivirüs programı, CPU ve GPU özellikleri, ülke, işletim sistemi adı ve kullanıcı adı dahil olmak üzere kurbanın cihazı hakkında önemli verileri toplar.
Kötü amaçlı yazılım, sistem bilgilerini topladıktan sonra C2 sunucusuna bağlanıyor. İletişim, “p” argümanına sahip bir POST isteği kullanılarak gerçekleştirilir. POST verileri TripleDES (PKCS7 dolgulu ECB modunda) ile şifrelenir ve ardından Base64 formatında kodlanır.
OriginBotnet, gelen C2 komutlarını ayrıştırmadan önce bekleme durumuna girer. Sunulan komutlar arasında “downloadexecute”, “uninstall”, “update” ve “load” yer alır.
Keylogger ve PasswordRecovery, OriginBotnet için bu senaryoda erişilebilen iki eklentidir.
Bilgisayarda yapılan her tuş vuruşu Keylogger eklentisi tarafından gizlice kaydedilir ve günlüğe kaydedilir; bu eklenti aynı zamanda kullanıcı etkinliğini de takip eder.
PasswordRecovery eklentisi çeşitli tarayıcı ve yazılım hesaplarının oturum açma bilgilerini toplar ve düzenler. Bu sonuçlar HTTP POST istekleri aracılığıyla not edilir ve raporlanır.
Bu nedenle araştırmacılara göre hackleme kampanyası karmaşık bir dizi olaya yol açtı. Saldırı, tespit edilmekten kaçınmak ve virüs bulaşmış cihazlarda kalıcılığı sürdürmek için akıllı yöntemler gösterdi.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.