Yetkili ve popüler şirketlerin gerçek site olduklarını iddia eden sahte web siteleri, kullanıcıları sitenin söz konusu şirkete ait olduğuna ve kullanımının güvenli olduğuna inandırır.
Bunun yanı sıra, bilgisayar korsanları popüler ve saygın markaları taklit ederek kurbanları hassas bilgileri girmeye veya kötü amaçlı yazılım indirmeye daha kolay ikna edebilir.
Rapid 7’deki siber güvenlik araştırmacıları, kullanıcıları Google Chrome ve Microsoft Teams gibi tanınmış yardımcı programlarmış gibi davranan kötü amaçlı yükleyicileri indirmeye yönlendiren yeni bir kötü amaçlı reklam kampanyası tespit etti.
Bu yükleyiciler “Oyster” veya “Broomstick” adında bir arka kapı sunar. Kuruluşunun ardından, uygulamalı klavye etkinliği, sistem numaralandırmasını ve diğer kötü amaçlı yüklerin dağıtımını içerir.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Sahte Microsoft Teams Web Sitesine Dikkat Edin
Kullanıcılar yazılımı Web’de aradıklarında üç durumda Microsoft Teams yükleyicilerini hatalı web sitelerinden indirdiler.
Bunlar, orijinal Microsoft siteleri gibi davranan hileli sitelerdi ve güvenilir kullanıcıları, orijinal yazılım uygulamaları yerine kötü amaçlı yazılım indirmeye yönlendiriyordu.
Birincisi, “micrsoft-teams-indirme[.]com”, Shanxi Yanghua HOME Furnishings Ltd için verilen bir sertifikayla imzalanmış MSTeamsSetup_c_l_.exe ikili dosyasını gönderdi; bu sertifika muhtemelen VirusTotal’da meşru bir varlık gibi görünmek için kötü niyetli olarak kullanıldı.
Mayıs 2024’te birden fazla yükleyici meşru yazılımın kimliğine büründü; bunlardan biri, iptal edilmiş sertifikaya sahip bir Microsoft Teams kurulum dosyası kullandı.
Rapid 7 raporu, Oyster (diğer adıyla Broomstick, CleanUpLoader) kötü amaçlı yazılım ailesinin ilk kez Eylül 2023’te bu yükleyici aracılığıyla dağıtıldığını belirtiyor.
Sistem verileri, sabit kodlu C2’lerle iletişim kurulurken toplanır, böylece uzaktan kod yürütülmesi mümkün olur. Son örnek, virüsün kendini yeniden çalıştırdığında her 3 saatte bir başlatılmasına olanak tanıyan zamanlanmış bir görev oluşturan CleanUp30.dll’yi bırakıyor.
C2 alanlarının kodu bir bayt eşleme algoritması kullanılarak çözülür ve parmak izi makinelerine virüs bulaşır, bu da bu tür bilgilerin C2 altyapısına geri gönderilmesine yardımcı olur.
Aşağıda, virüslü makinenin parmak izini almak için kullanılan tüm işlevlerden bahsettik: –
- DsRoleGetPrimaryDomainInformation
- KullanıcıAdıW’yi Getir
- NetUserGetInfo
- GetComputerNameW
- RtlGetVersion
Ana bilgisayar bilgileri numaralandırılırken veriler, kodu çözülmüş dizelerden JSON alanlarında depolanır.
Parmak izi, HTTP POST aracılığıyla her yere gönderilmeden önce dizenin ters çevrilmesi ve bayt eşlemesi yoluyla kodlanır.[.]com/, supfoundryyerleşimciler[.]bizi/ve adamınızı geri yönlendirin[.]AB/.
CleanUp30.dll, HTTP/WebSocket C2 iletişimi için Boost.Beast’i kullanır. CleanUp30.dll dosyasını çalıştırdıktan sonra, CleanUp.dll dosyasını rundll32.exe aracılığıyla çalıştırmak için DiskCleanUp.lnk başlangıç kısayolunu oluşturan bir PowerShell betiği oluştu.
Bu, k1.ps1, main.dll ve getresult.exe yüklerini yürüttü.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free