Siber güvenlik araştırmacıları, yeni keşfedilen Rust tabanlı bir infostealer Eddiestealer olarak adlandırılan aldatıcı captcha doğrulama sayfalarından yararlanan sofistike bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Bu kampanya, tehdit aktörlerinin kullanıcıların kötü amaçlı kod yürütmeleri için kandırmak için rutin güvenlik doğrulama süreçlerine aşinalıklarını kullandıkları sosyal mühendislik taktiklerinde önemli bir evrimi temsil ediyor.
Kötü amaçlı yazılım, ikna edici sahte “Ben bir robot değilim” doğrulama ekranları gösteren, sonuçta kimlik bilgilerini, tarayıcı bilgilerini ve kripto para birimi cüzdan detaylarını hasat edebilen güçlü bir veri çalma aracının dağıtımına yol açan karmaşık bir çok aşamalı dağıtım mekanizması kullanır.
.png
)
Saldırı vektörü, yürütme metodolojisinde dikkate değer bir karmaşıklık göstermektedir. Başlangıç erişim, kullanıcılara meşru bir Google Recaptcha doğrulama arayüzü gibi görünen şeyleri sunarak, reaksiyon tabanlı JavaScript yükleri dağıtan tehlikeye atılmış web siteleri aracılığıyla gerçekleşir.
Bu sahte doğrulama ekranları, kullanıcılara görünüşte zararsız eylemler gerçekleştirmelerini öğretir: Windows Key + R’yi çalıştırma iletişim kutusunu açmak için, ardından Ctrl + V’ye pano içeriğini yapıştırmak ve son olarak komutu yürütmek için girin.
Kurbandan habersiz olarak, kötü amaçlı JavaScript belgesini kullanarak panolarına bir PowerShell komutunu zaten kopyaladı.
Elastik Güvenlik Laboratuarları analistleri, kapsamlı telemetri analizi yoluyla ortaya çıkan bu tehdidi tanımladı ve kampanyanın saldırgan kontrollü altyapıdan ikincil yükleri sessizce indiren sofistike bir komuta yapısından yararlandığını keşfetti.
PowerShell komutu, daha sonra Pseudorandom tarafından oluşturulan 12 karakterli bir dosya adıyla ana EddiesTealer yürütülebilir dosyasını indiren Hxxps: //1111.fit/version/ gibi alanlardan “gVerify.js” adlı bir JavaScript dosyasını otomatik olarak alır.
Bu çok katmanlı yaklaşım, meşru sistem doğrulama süreçlerinin görünümünü sürdürürken saldırının gerçek doğasını etkili bir şekilde gizler.
.webp)
Kötü amaçlı yazılımın etkisi, kripto para cüzdanları, tarayıcı depolanmış kimlik bilgileri, şifre yöneticisi veritabanları, FTP istemci yapılandırmaları ve mesajlaşma uygulamaları gibi kapsamlı bir yelpazede hassas verileri hedefleyen basit kimlik hırsızlığının çok ötesine uzanır.
EddiesTealer, modern tarayıcı güvenliğine yaklaşımında özel bir karmaşıklık göstermektedir ve son Chrome sürümlerinde tanıtılan uygulamaya bağlı şifreleme korumalarını atlamak için ChromeKatz’a benzer teknikler uygular.
.webp)
Kötü amaçlı yazılımların gelişen güvenlik önlemlerine uyum sağlama yeteneği, iyi kaynaklanan siber suçlu kuruluşların yarattığı sürekli tehdidi vurgulamaktadır.
Gelişmiş Kaçma ve Kalıcılık Mekanizmaları
Eddiestealer, onu geleneksel infosterers’tan ayıran birden fazla şaşkınlık ve kaçırma teknik katmanını kullanır.
Kötü amaçlı yazılım, XOR şifreleri aracılığıyla kapsamlı dize şifrelemesi kullanır, her bir şifre çözme rutini, XOR anahtar yerlerini hesaplamak için ikili adresleri ve 4 baytlık sabitleri kabul eden farklı anahtar türetme fonksiyonları kullanır.
Bu yaklaşım, araştırmacılar anlamlı artefaktları çıkarmak için çoklu özel şifre çözme algoritmalarını tersine çevirmelidir, çünkü anlamlı artefaktları ortadan kaldırır.
Kötü amaçlı yazılım, özel bir Windows API arama mekanizması aracılığıyla sofistike API şaşkınlığı uygular. Eddiestealer, standart içe aktarma tablolarına güvenmek yerine, daha önce çözülmüş API çağrılarının yerel bir hashtabling’ini koruyarak işlev adreslerini dinamik olarak çözer.
Yeni bir işlev gerektiğinde, kötü amaçlı yazılım, adresleri almak için özel LoadLibrary ve GetProcAddress uygulamalarını kullanır ve daha sonra gelecekte kullanım için önbellektir.
Bu teknik, ithalat tablosu analizine dayanan imza tabanlı algılama sistemlerinden etkili bir şekilde kaçınır.
EddiesTealer, sistemin yaklaşık 4.0 GB’lik minimum gereksinimleri karşılayıp karşılamadığını belirlemek için toplam fiziksel belleği değerlendiren bellek tabanlı kum havuzu algılaması dahil olmak üzere birden fazla anti-analiz özelliği içerir.
Ek olarak, daha yeni varyantlar, komut ve kontrol altyapısının istemci ortamlarını değerlendirebileceği ve kum havuzu veya analiz sistemleri algılandığında kötü niyetli yükleri saklayabileceği sunucu tarafı profilleme özelliklerini önerir.
Kötü amaçlı yazılım ayrıca, Latrodectus kampanyalarında gözlemlenenlere benzer şekilde NTFS alternatif veri akışları yeniden adlandırma tekniklerini kullanarak kendi kendini aşınma yeteneklerini uygular ve yürütülebilir dosyanın dosya kilit kısıtlamalarını atlarken kendisini diskten kaldırmasını sağlar.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.