Kötü amaçlı bir reklamcılık kampanyası, Google Chrome ve Microsoft Teams gibi popüler yazılımlar için truva atı haline getirilmiş yükleyicilerden yararlanarak Oyster (aka Broomstick ve CleanUpLoader) adlı bir arka kapı bırakmayı amaçlıyor.
Rapid7’nin bulgularına göre bu, kullanıcıların Google ve Bing gibi arama motorlarında aradıktan sonra yönlendirildikleri kötü amaçlı yükleri barındıran benzer web sitelerini tespit ediyor.
Tehdit aktörleri, şüphelenmeyen kullanıcıları meşru yazılım içerdiği iddia edilen sahte web sitelerine yönlendiriyor. Ancak kurulum ikili dosyasını indirmeye çalışmak bunun yerine kötü amaçlı yazılım bulaşma zincirini başlatır.
Özellikle yürütülebilir dosya, güvenliği ihlal edilen ana bilgisayar hakkında bilgi toplayabilen, sabit kodlu bir komut ve kontrol (C2) adresiyle iletişim kurabilen ve uzaktan kod yürütülmesini destekleyebilen Oyster adı verilen bir arka kapı için bir yol görevi görüyor.
Geçmişte Oyster’ın, Broomstick Loader (diğer adıyla Oyster Installer) olarak bilinen özel bir yükleyici bileşeni aracılığıyla teslim edildiği gözlemlenmiş olsa da, en son saldırı zincirleri, arka kapının doğrudan açılmasını gerektiriyor. Kötü amaçlı yazılımın, TrickBot kötü amaçlı yazılımının arkasındaki Rusya bağlantılı bir grup olan ITG23 ile ilişkili olduğu söyleniyor.
Kötü amaçlı yazılımın yürütülmesini, hileyi sürdürmek ve tehlike işaretlerinin ortaya çıkmasını önlemek amacıyla meşru Microsoft Teams yazılımının yüklenmesi takip ediyor. Rapid7 ayrıca kötü amaçlı yazılımın sistemde kalıcılık sağlamaktan sorumlu bir PowerShell betiği oluşturmak için kullanıldığını da gözlemlediğini söyledi.
Açıklama, Rogue Raticate (diğer adıyla RATicate) olarak bilinen bir siber suç grubunun, kullanıcıları kötü amaçlı bir URL’ye tıklamaya ve NetSupport RAT sunmaya ikna etmek için PDF tuzakları kullanan bir e-posta kimlik avı kampanyasının arkasında olduğu düşünüldüğü için geldi.
Symantec, “Bir kullanıcı başarılı bir şekilde URL’ye tıklaması için kandırılırsa, bir Trafik Dağıtım Sistemi (TDS) aracılığıyla zincirin geri kalanına yönlendirilecek ve sonunda NetSupport Uzaktan Erişim Aracı kendi makinesine konuşlandırılacak” dedi. .
Bu aynı zamanda, müşterilerin, kurbanları kimlik bilgileri toplama sayfalarına yönlendiren PDF eklerindeki gömülü QR kodlarını kullanarak kimlik avı kampanyaları düzenlemelerine olanak tanıyan, ONNX Mağazası adı verilen yeni bir hizmet olarak kimlik avı (PhaaS) platformunun ortaya çıkışıyla da aynı zamana denk geliyor.
Bir Telegram botu aracılığıyla Kurşun geçirmez barındırma ve RDP hizmetleri de sunan ONNX Store’un, ilk olarak Ekim 2022’de Google’a ait Mandiant tarafından belgelenen ve hizmetin Arap bir şirket tarafından sürdürülen Kafein kimlik avı kitinin yeniden markalanmış bir versiyonu olduğuna inanılıyor. MRxC0DER adlı konuşan tehdit aktörü.
Kimlik avı web sitesi tarayıcıları tarafından tespit edilmekten kaçınmak için Cloudflare’in anti-bot mekanizmalarını kullanmanın yanı sıra, kimlik avı kampanyaları yoluyla dağıtılan URL’ler, kurbanların ağ meta verilerini toplamak ve 2FA belirteçlerini aktarmak için sayfa yükleme sırasında kodu çözülen şifreli JavaScript ile gömülü olarak gelir.
“ONNX Mağazası, verileri kesen iki faktörlü kimlik doğrulama (2FA) atlama mekanizmasına sahiptir [two-factor authentication] EclecticIQ araştırmacısı Arda Büyükkaya, “Kimlik avı sayfaları gerçek Microsoft 365 oturum açma arayüzlerine benziyor ve hedefleri kimlik doğrulama ayrıntılarını girmeleri için kandırıyor.”