Sıkışma programlama dilini kullanarak akıllı (öncelikle Ethereum) sözleşmeleri yazma konusunda uzmanlaşmış geliştiriciler, kripto para birimi cüzdan kimlik bilgilerini çalan kötü amaçlı yazılım yükleyen kötü amaçlı ve kod uzantıları aracılığıyla hedeflenmiştir.
“Paylaşılan altyapı ve şaşkınlık özelliklerine dayanarak, üç uzantıyı da Mut-9332 olarak izlediğimiz tek bir tehdit aktörüne bağlıyoruz, bu da bir Monero Cryptominer’ı backdoored vs kod uzantıları aracılığıyla dağıtmak için yakın zamanda bildirilen bir kampanyanın arkasında,” diye paylaştı.
Ortaya çıkarılmamış kampanya
Microsoft’un Visual Studio Kodu (VS Code) Marketplace’ında indirmek için üç kötü niyetli uzantı sunuldu.
Solaibot– arasındaVe Blankebesxstnion görünüşte sözdizimi tarama ve güvenlik açığı algılama konusunda görünüşte yardımcı olan meşru uzantılar gibi görünüyordu.
Ancak güvenliği artırmak yerine, şunları zayıflattılar:
- VS Kod başlatıldığında veya bir sağlam kaynak dosyası açıldığında kendilerini yüklenecek şekilde yapılandırma
- Çok aşamalı bir enfeksiyon zinciri başlatan kötü amaçlı bir dosyanın indirilmesi, mevcut krom tabanlı tarayıcılarda kimlik bilgisi çalma uzantısının kurulmasına yol açar (extension.zip) ve ayrı bir yürütülebilir dosyanın kurulumu (Myau.exe) Kripto para birimi cüzdan kimlik bilgilerini ve tarayıcı uzantılarını arar ve tuş vuruşlarını yakalar.
Myau.exe Çeşitli kaçırma teknikleri kullanır: sanallaştırılmış ortamlarda yürütmeyi önlemek için sistem yapılandırmalarını değerlendirir ve kodu gizlenir ve paketlenir.
“Sonraki aşama bileşen, myaunet.exeöncelikle bir kimlik bilgisi ve infostealer olarak işlev görür. Uyumsuzluk, krom tabanlı tarayıcılar, kripto para cüzdanları ve elektron uygulamaları için uygulama veri dizinleri içindeki LevelDB dosyalarını numaralandırır ”diye paylaştı.
“Kötü amaçlı yazılım, Windows barındıran dosyayı antivirüs satıcıları, kum havuzu ortamları ve tehdit istihbarat sağlayıcılarıyla ilişkili alanlara düden bağlantılarına değiştirir. Ayrıca, kötü amaçlı yazılım, Windows güvenliği güncellemelerinden veya interference’yi engellemek için netship aracılığıyla bir güvenlik duvarı kuralı oluşturur, muhtemelen Windows güvenliği güncellemelerinden veya interference’yi önleyecek veya interference, Windows güvenlik güncellemelerinden veya etkileşimleri önleyecek veya interference tespiti veya interference.
Hedef veriler ortaya çıktıktan sonra, kötü amaçlı yazılım Quasar Remote Access Trojan’ı indirir ve yürütür.
Kötü amaçlı ve kod uzantılarından nasıl kaçınılır
KOI Güvenlik Araştırmacılarının geçen yıl gösterdiği gibi, VS Code Marketplace’de kötü niyetli uzantılar yayınlamak ve çok sayıda kurbana vurmak nispeten kolaydır.
Datadog tarafından tespit edilen üç kötü amaçlı ve kod uzantısı kaldırılmadan önce 50’den az indirildi, ancak bu kampanyanın devam edeceğine dair göstergeler var.
Araştırmacılar, “Yazma sırasında, VS Code Marketplace’ten uzantıların kaldırılmasından çok sonra, MUT-9332’nin birden fazla ara yüke düzenlemeler yaptığını gözlemledik” dedi.
Üç uzatmadan birini indiren programcılar, kötü amaçlı tarayıcı uzantılarını ve makinelerinde diğer uzlaşma göstergelerinin varlığını kontrol etmelidir.
Daha da önemlisi, VS Code Marketplace kullanıcıları, kullanıma devam etmeden önce indirmek istedikleri uzantıları araştırmalıdır.
Genel tavsiye:
- Tanınmış (doğrulanmış) yayıncılara sadık kalın
- Kırmızı bayraklar için incelemelere bakın
- Uzantı açık kaynak ise, şüpheli davranışlar için kaynak kodunu inceleyin
- Potansiyel olarak güvensiz olanları işaretleyen güvenilir güvenlik uzantılarını kullanmayı düşünün
- Yazım hatası uzantıları arıyor
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!