Güvenlik araştırmacıları, Windows Run komutu aracılığıyla gizlice kötü amaçlı kod yürüten “Hulucaptcha” adlı sahte bir Captcha doğrulama sisteminden yararlanan sofistike bir kimlik avı kampanyası belirlediler.
Saldırı zinciri, görünüşte meşru Captcha zorluklarıyla başlar, etkileşim üzerine, kullanıcı farkındalığı olmadan komut dosyası yürütülmesini tetikler.
Bu teknik, standart doğrulama işlemlerini taklit eden ikna edici bir kullanıcı arayüzünü korurken meşru Windows işlevselliğini kullanarak geleneksel güvenlik önlemlerini atlar.
.png
)
Saldırı Metodolojisi
HuluCaptcha Toolkit, hileli web sitelerine bağlantılar içeren kimlik avı e-postalarıyla başlayan çok aşamalı bir saldırı vektörü aracılığıyla çalışır.
Bu siteler kullanıcılara, görüntü tanıma zorlukları ve onay kutusu onayları ile birlikte standart Captcha doğrulama arayüzleri gibi görünen şey sunar.
Kötü niyetli yön, kullanıcı etkileşimlerini yakalayan bu arayüzlere gömülü gizli JavaScript kodunda yer alır.
Mağdurlar captcha’yı çözmeye çalıştıklarında, araç seti, Windows Run iletişim kutusu (Win+R aracılığıyla erişilebilir) aracılığıyla sessizce komutlar oluşturur ve yürütür, kalıcılık oluşturmak ve ek yükler indirmek için PowerShell veya CMD’den yararlanır.
Teknik analiz, araç seti kodu boyunca kullanılan sofistike gizleme tekniklerini ortaya koymaktadır.
Kötü amaçlı yazılım yazarları, güvenlik çözümleriyle tespitten kaçınmak için Base64 ve özel şifre algoritmaları dahil olmak üzere birden fazla kodlama katmanı uyguladılar.
JavaScript yükü çalışma zamanında kod çözer ve aynı zamanda sistem komutlarını yürütürken meşru Captcha işlevselliğinin yanılsamasını korumak için DOM manipülasyonunu kullanır.
Özellikle araç setinin sanal ortamları ve güvenlik analiz araçlarını tespit etme yeteneği, analiz sırasında iyi huylu görünmek için davranışını değiştirir.
Komut yürütme mekanizması, belirli koşullar altında tarayıcı bağlamlarından komutların doğrudan yürütülmesini sağlayan Windows’daki kabuk: protokol işleyicisini kullanır.
Bu yaklaşım, bu özel yürütme yolunu izleyemeyen veya kısıtlamayan birçok uç nokta koruma çözümünü atlatır.
İlk erişim belirlendikten sonra, kötü amaçlı yazılım, öncelikle kayıt anahtarlarında ve bellekte bulunan evsiz bileşenleri dağıtarak algılama ve iyileştirme çabalarını daha da karmaşıklaştırır.
Dağıtım ağları
Hulucaptcha’nın dağıtım altyapısı, birinci aşama dağıtım noktaları olarak tehlikeye atılan WordPress sitelerini kullanan sofistike bir işlemi ortaya koymaktadır.
Araştırmacılar, bu tehlikeye atılan sitelerin kurbanları sahte captcha arayüzlerine götüren ilk kimlik avı sayfalarına ev sahipliği yaptığını keşfetti.
Trafik analizi, kampanyanın öncelikle finansal kurumları ve yüksek değerli veri varlıklarına sahip işletme ortamlarını hedeflediğini göstermektedir.
Saldırganlar, trafiğin müdahalesini önlemek için gelişmiş operasyonel güvenliği, düzenli olarak dönen komut ve kontrol sunucularını ve sertifika sabitlemesini uyguladığını gösterir.
Meydan okulu sistemlerin adli analizi, saldırganların kalıcılık için meşru pencereler yönetimi enstrümantasyonundan (WMI) işlevsellikten yararlandığını ve talimatlar için komut sunucularına periyodik olarak bağlanan planlanmış görevler oluşturduğunu göstermektedir.
Kötü amaçlı yazılımların modüler mimarisi, saldırganların, keyloggers ve pano korsanlarından belirli kurumsal uygulamaları hedefleyen daha karmaşık veri açığa çıkma araçlarına kadar kurbanın ortamına göre belirli yükleri dağıtmalarını sağlar.
Güvenlik ekipleri, özellikle giden bağlantılar kuran RUN iletişim kutusu aracılığıyla yürütülen komutlar, şüpheli PowerShell ve WMI etkinliği için gelişmiş izleme uygulamalıdır.
Kuruluşların uygulama izin verme politikalarını dağıtmaları ve araç setinin genellikle ilk yüklerini dağıttığı geçici dizinlerden yürütmeyi kısıtlamaları tavsiye edilir.
Düzenli güvenlik bilinci eğitimi, Captcha tabanlı kimlik avı tekniklerinin artan karmaşıklığını vurgulamalıdır.
Uzlaşma Göstergeleri (IOC)
| IOC Türü | Gösterge | Tanım |
|---|---|---|
| İhtisas | Captcha-Doğrulama-Secure[.]com | Birincil dağıtım alanı |
| İhtisas | Güvenlik-Kapsül[.]açık | İkincil yük barındırma |
| Dosya karma | 7a4b0d6c5f3e2d1c0b9a8f7e6d5c4b3a | Ana JavaScript Yükleyici |
| Dosya karma | 34f5d6c7b8a9d0e1f2c3b4a5d6e7f8c | Kodlanmış PowerShell yükü |
| Sicil | HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ SecurityVerifier | Kalıcılık mekanizması |
| Ağ | 192.168.23[.]45: 8080 | Komut ve Kontrol Sunucusu |
| İşlem | Rundll32.exe JavaScript’i olağandışı parametrelerle yürütme | Yürütme modeli |
| Emretmek | Powershell.exe -enc [base64 string] | Tipik yürütme biçimi |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!