Yakın tarihli bir siber saldırı kampanyası, aldatıcı bir yetişkin temalı temalı ve kötü amaçlı yazılım sunmak için romantizm aldatmaca ile Alman konuşmacıların avlanıyor. Sofistike operasyon, şüphesiz kurbanları kötü niyetli alanlara yönlendirmek için Keitaro TDS adlı meşru bir trafik dağıtım sisteminden (TDS) yararlanır. Bu kampanya güvenlik araştırma firması Sublime Security tarafından keşfedildi ve bulgularını sadece hackread.com ile paylaştılar.
Yazarlar, Yüce Güvenlik Tespit Mühendisi Bryan Campbell ve Tehdit Araştırmacısı Brian Baskin, bu kampanyaya dahil olan e -postaların, alıcıyı çizmeyi amaçlayan cazip dil kullandığını ve açık içeriğe bağlantılar sunduğunu açıkladı.
Sublime’ın AI ile çalışan algılama motoru tarafından tanımlanan önemli bir uyarı işareti, doğrudan e-posta içinde korunan bir arşiv için bir şifrenin dahil edilmesiydi-meşru iletişim için oldukça sıra dışı bir uygulama. Ayrıca, e-postalar genellikle alışılmadık gönderenlerden tutarsız isimler, e-posta adresleri ve yanıtlar verme ayrıntıları ile geldi.
Saldırı nasıl çalışır
Mağdurlar iki kötü niyetli bağlantı içeren e -postalar alır. Biri bir video önizleme resmine gömülürken, diğeri bir arşiv dosya. Bir kullanıcı bu bağlantıları tıklarsa, sistem önce konumlarının Almanya’da olup olmadığını kontrol eder. Eğer öyleyse, kötü amaçlı bir yük olarak hareket eden büyük bir 300MB ISO dosyası, arka plandaki Rusya tabanlı bir sunucudan sessizce indirilir.
Saldırganların Keitaro TDS kullanımı çok önemlidir. Bu sistem, siber suçluların mağdurları tam olarak hedeflemelerine izin verir, yalnızca Almanya gibi belirli bölgelerden ve hatta belirli saatlerde bile kötü niyetli içeriğe maruz kalmasını sağlar. Bu hassasiyet, saldırganların yaklaşımlarını belirli bir kitleye göre uyarlayarak başarı oranlarını artırmalarına yardımcı olur.
İçindeki gizli tehdit
İndirildikten sonra, ISO dosyası algılamadan kaçacak şekilde tasarlanmıştır. Ekstra kaldırdıktan sonra hurda Veriler, kalan içerik, sürücü olarak monte edilebilen standart bir kaptır. Bu sürücü daha sonra başka bir büyük yürütülebilir dosyayı tutar, “lovely_photos.exe”Ve kendi kendine ekleyen bir arşiv için şifreli bir metin belgesi.
Yürütme üzerine, kötü amaçlı yazılım, orijinal e -postada ve çıkarılan metin dosyasında uygun şekilde sağlanan bir şifre ister. Bu, açık görüntüler ve diğer dosyalar da dahil olmak üzere birden çok dosyanın kullanıcının geçici dizine çıkarılmasını başlatır. Daha sonra bir toplu komut dosyası çalışır, yüksek derecede gizlenmiş bir otomatik komut dosyasını yürütmek için bir otomatik tercüman oluşturur.
Otoit meşru bir komut dosyası dilidir, ancak burada silahlandırılmıştır. Bu komut dosyası ayrıca, çalışan hizmetleri kontrol ederek ve yürütülmesini geciktirerek antivirüs yazılımını atlamaya çalışır.
Çok gizlenmiş olan son otomatik komut dosyası, daha sonra DragonMapper adlı bir Windows planlı görev oluşturarak kalıcılık oluşturur ve kötü amaçlı yazılımların her giriş yaptığında çalışmasını sağlar. Bu araştırma, tehdit aktörlerinin yüksek hedefli kampanyalar oluşturabileceğini ve daha yüksek bir başarı oranı için özel mesajlar verebileceğini hatırlatır.