Oluşturulan medya içeriği kisvesi altında ‘Noodlophile’ adlı yeni bir bilgi çalan kötü amaçlı yazılım ailesini dağıtmak için sahte AI ile çalışan video oluşturma araçları kullanılmaktadır.
Web siteleri “Dream Machine” gibi cazip isimler kullanır ve Facebook’ta yüksek görünürlüklü gruplarda ilan edilir ve yüklenen kullanıcı dosyalarına dayalı videolar oluşturan gelişmiş AI araçları olarak poz verir.
Her ne kadar kötü amaçlı yazılım sunmak için AI araçlarının kullanılması yeni bir kavram olmasa da ve deneyimli siber suçlular tarafından benimsenmiş olsa da, Morphisec tarafından en son kampanyanın keşfi karışıma yeni bir infostealer tanıtıyor.
Morphisec’e göre, Noodlophile genellikle “Cookie + Pass Get” hizmetleri ile paketlenmiş karanlık web forumlarında satılıyor, bu yüzden Vietnamca konuşan operatörlere bağlı yeni bir hizmet olarak kötü amaçlı yazılım işlemi.
Kaynak: Morphisec
Çok aşamalı enfeksiyon zinciri
Kurban kötü niyetli web sitesini ziyaret ettiğinde ve dosyalarını yükledikten sonra, AI tarafından oluşturulan bir video içermesi gereken bir zip arşivi alırlar.
Bunun yerine, zip aldatıcı olarak adlandırılan bir yürütülebilir (video machineai.mp4.exe) ve sonraki aşamalar için gerekli çeşitli dosyalara sahip gizli bir klasör içerir. Bir Windows kullanıcısının dosya uzantıları devre dışı bırakılmışsa (asla bunu yapmayın), bu hızlı bir bakışta bir MP4 video dosyası gibi görünür.
Morphisec, “Dosya videosu rüyası machineai.mp4.exe, Winauth aracılığıyla oluşturulan bir sertifika kullanılarak imzalanmış 32 bit C ++ uygulamasıdır.”
“Yanıltıcı adına rağmen (.mp4 videosu öneren), bu ikili aslında meşru bir video düzenleme aracı olan (sürüm 445.0) Capcut’un yeniden tasarlanmış bir sürümüdür. Bu aldatıcı adlandırma ve sertifika, kullanıcı şüphesinden ve bazı güvenlik çözümlerinden kaçmasına yardımcı olur.”
.jpg)
Kaynak: Morphisec
Sahte MP4’e çift tıklama, sonunda bir toplu komut dosyası başlatan bir dizi yürütülebilir dosyayı yürütür (document.docx/install.bat).
Komut dosyası, bir PDF belgesi olarak POS POS POSE POSPED BASE64 kodlu bir şifre korumalı RAR arşivi kodunu çözmek ve çıkarmak için ‘certutil.exe’ meşru Windows aracını kullanır. Aynı zamanda, kalıcılık için yeni bir kayıt defteri anahtarı da ekler.
Ardından, komut dosyası, sert kodlanmış bir uzak sunucu adresinden getirilen ve sonunda bellekte nozullopil stealer’ı yürütülen gizlenmiş bir Python komut dosyasını (randomer2025.txt) çalıştıran ‘srchost.exe’yi yürütür.
Geri ihlal edilen sistemde Avast algılanırsa, yükü regasm.exe’ye enjekte etmek için PE boşluğu kullanılır. Aksi takdirde, bellek içi yürütme için kabuk kodu enjeksiyonu kullanılır.
Kaynak: Morphisec
Noodlophile, hesap kimlik bilgileri, oturum çerezleri, jetonlar ve kripto para birimi cüzdan dosyaları gibi web tarayıcılarında depolanan verileri hedefleyen yeni bir bilgi çalma kötü amaçlı yazılımdır.
“Noodlophile Stealer, kötü amaçlı yazılım ekosistemine yeni bir ekleme temsil ediyor. Daha önce genel kötü amaçlı yazılım izleyicileri veya raporlarında belgelenmemiş olan bu stealer, tarayıcı kimlik hırsızlığı, cüzdan eksfiltrasyonu ve isteğe bağlı uzaktan erişim dağıtımını birleştiriyor.”
Çalınan veriler, gizli bir komut ve kontrol (C2) sunucusu olarak hizmet veren ve saldırganlara çalınan bilgilere gerçek zamanlı erişim sağlayan bir telgraf botu aracılığıyla açıklanır.
Bazı durumlarda, Noodlophile, uzaktan erişim Truva atı olan Xworm ile paketlenir ve saldırganlara, info-yöneticinin kolaylaştırdığı pasif çalmanın çok ötesine geçen yüksek veri hırsızlığı yetenekleri verir.
Kötü amaçlı yazılımlardan korunmanın en iyi yolu, bilinmeyen web sitelerinden dosya indirmek ve yürütmekten kaçınmaktır.
Açmadan önce her zaman dosya uzantılarını doğrulayın ve indirilen tüm dosyaları yürütmeden önce güncel bir AV aracında tarayın.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.