Trellix Advanced Araştırma Merkezi’nden güvenlik araştırmacıları, WordPress, Joomla ve Drupal gibi platformlarda yaygın olarak kullanılan geriye dönük uyumluluk eklentisi olan yaygın olarak güvenilir JQuery Migrate Kütüphanesi’nden yararlanan gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Olağandışı çevrimiçi etkinlikten sonra rutin bir URL denetimi ile başlayan saldırı, JQuery Migrate-3.4.1.min.js’nin silahlandırılmış bir versiyonunu ortaya çıkardı.
Sofistike kötü amaçlı yazılım gizli
Bu kötü niyetli senaryo, meşru kaynakların bile gizli siber tehditler için nasıl vektör olabileceğini gösteren, tehlikeye atılmış bir Orta Doğu iş web sitesi aracılığıyla teslim edildi.
.png
)
Üst düzey bir yönetici siteye eriştiğinde başlatılan olay, özellikle kolay incelemeden kaçan minikleştirilmiş veya optimize edilmiş dosyalara paketlendiğinde, yazılım tedarik zincirindeki güvenilir açık kaynaklı varlıkların güvenlik açığını vurgular.
Kötü amaçlı yazılım, kurbanları cihaz, tarayıcı veya yönlendirici verilere göre kötü amaçlı yüklere filtrelemek ve yönlendirmek için tasarlanmış kötü şöhretli bir siber suçlu araç seti olan Paprot Trafik Yön Sistemi (TDS) kullanılarak yayılmıştır.
Etkilenen sitedeki bir WordPress otomatik olarak önbellek dosyasına gömülü (tabukchamber[.]SA), Parrot TDS Bozuk JQuery Migrate Kütüphanesi’nin indirilmesini kolaylaştıran gizli bir yönlendirme kodu.
Parrot TDS: gizli bir teslimat mekanizması
Analiz üzerine araştırmacılar, meşru kütüphane koduna eklenen, dinamik dize binası, XMLHTTPRequest aracılığıyla özel HTTP ambalajları kullanan ve kötü niyetli niyetini maskelemek için randomize jeton üretimi kullanan gizlenmiş bir JavaScript yükü buldular.
Trellix raporuna göre, kötü şöhretli değerlendirme () işlevi aracılığıyla yürütülen bu yük, saldırgan kontrollü alanlardan uzak komut dosyalarını getirdi, statik algılamayı neredeyse imkansız hale getirdi ve saldırının kurban profillerine dayalı olarak gerçek zamanlı uyarlanmasına izin verdi.
Bu kötü amaçlı yazılımların yetenekleri derinden endişe duyuyor. Etkinleştirildikten sonra, çerezler, oturum kimlikleri ve localStorage içeriği gibi hassas veriler, kimlik bilgilerini yakalamak için tuş vuruşlarını ve sahte giriş modlarını veya aldatıcı kullanıcı arayüzlerini Phish kullanıcılarına enjekte edebilir.
Ayrıca, kripto para madencileri veya tıklama komut dosyaları gibi ek tehditler de dağıtabilir, verileri gizli iFrame veya Fetch () istekleri ile dışarı atabilir ve kalıcılık için tarayıcı API’lerine takılabilir.
Bellek içi yürütme ve disk artefaktlarının eksikliği, adli analizi daha da karmaşıklaştırır ve kuruluşları ince ağ anomalilerini veya DOM manipülasyonlarını tespit etmeye güvenir.
Bu olay, kullanıcı oturumlarındaki sapmaları tanımlamak için güçlü izleme, üçüncü taraf komut dosyalarının düzenli denetimleri ve davranış telemetrisinin, saldırganların yıkıcı yükler sunmak için jQuery gibi her yerde bulunan kütüphanelere olan güvenini giderek daha fazla kullandıklarını vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| Kötü niyetli varlık | JQuery-Migrat-3.4.1.min.js Eklenmiş Gizli Kod |
| Orijinal url | hxxps: // tabukchamber[.]Sa/…/_*otoptimize. JS |
| TDS Teslimat | Parrot TDS’nin WordPress önbellek yolunda aktif kullanımı |
| Yük isteği | https://www.cloudhost.com/m/script.js?id= |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin