Siber güvenlik araştırmacıları tarafından “Phantom Goblin” olarak adlandırılan sofistike bir kötü amaçlı yazılım operasyonu, bilgi çalma kötü amaçlı yazılımları dağıtmak için sosyal mühendislik taktiklerinin artan kullanımını vurguladı.
Bu işlem, kullanıcıları kötü amaçlı dosyalar yürütmeye kandırmak için aldatıcı tekniklerden yararlanarak yetkisiz erişim ve veri hırsızlığına yol açar.
Kötü amaçlı yazılım dağıtımı ve yürütme
Phantom Goblin kötü amaçlı yazılımları, genellikle spam e -postaları aracılığıyla teslim edilen RAR ekleri ile dağıtılır.
Bu ekler, “Proofs.RAR” etiketli bir rar arşivinin parçası olan “Document.lnk” adlı bir PDF belgesi olarak gizlenmiş kötü amaçlı bir kısayol (LNK) dosyası içerir.
Yürütüldükten sonra, LNK dosyası bir GitHub deposundan ek yükleri sessizce indiren ve yürüten bir PowerShell komutu başlatır.
Bu, bir kayıt defteri girişi ekleyerek, kötü amaçlı yazılımların sistem başlangıçta çalışmasına izin vererek kalıcılığı sağlar.
“Updater.exe”, “vscode.exe” ve “browser.exe” dahil olmak üzere yükler meşru uygulamaları taklit etmek için tasarlanmıştır, bu da tespit edilmesini zorlaştırır.
Kötü amaçlı yazılım öncelikle veri hırsızlığı ve yetkisiz sistem erişimi için web tarayıcıları ve geliştirici araçlarını hedefler.
Çerezler, oturum açma kimlik bilgileri ve tarama geçmişi gibi hassas bilgileri çıkarmak için tarayıcı işlemlerini zorla sonlandırır.
“Updater.exe” yükü, uzaktan hata ayıklamayı etkinleştirerek Chrome’un uygulamaya bağlı şifreleme (ABE) sığınma için atlayarak Chrome, Cesur ve Edge gibi tarayıcılardan çerezleri çalıyor.
Çalınan veriler arşivlenir ve Telegram Bot API’si kullanılarak bir telgraf kanalına iletilir.
VSCode Tünelleri aracılığıyla yetkisiz uzaktan erişim
Phantom Goblin operasyonunun bir diğer kritik yönü, yetkisiz uzaktan erişim sağlamak için Visual Studio Kodu (VSCODE) tünellerini kullanmasıdır.
“Vscode.exe” yükü, tehdit aktörlerinin geleneksel güvenlik uyarılarını tetiklemeden tehlikeye atılmış sistemler üzerinde kontrolü sürdürmesine izin veren bir VSCODE tüneli oluşturur.
Cril Report’a göre, bu, VSCODE’nin meşru bir kopyasını indirerek, çıkararak ve daha sonra bir tünel oluşturmak için PowerShell komut dosyaları kullanılarak elde edilir.
Bağlantı detayları, gerçek zamanlı uzaktan erişim sağlayan bir telgraf botuna eklenir.
Bu tehditleri azaltmak için kullanıcılara beklenmedik ekler açmaktan kaçınmaları ve gelişmiş e -posta filtrelemesini etkinleştirmeleri tavsiye edilir.
Sağlam uç nokta korumasının gerçek zamanlı tehdit algılamasıyla dağıtılması, kötü niyetli süreçlerin belirlenmesine yardımcı olabilir.
PowerShell yürütme ve VSCODE tünelleri için katı erişim kontrollerinin uygulanması da önerilir.
Olağandışı Telegram API etkinliği de dahil olmak üzere şüpheli bağlantılar için giden ağ trafiğinin izlenmesi, bu tür saldırıları tespit etmeye ve önlemeye yardımcı olabilir.
Bu taktikleri anlayarak, kuruluşlar phantom goblin gibi sofistike tehditlere karşı siber güvenlik duruşlarını artırabilirler.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free