- Sahte Chrome Tarayıcı Güncelleme Dolandırıcılığı: Trellix, NetSupport Manager’ı kurban bilgisayarlara gizlice sokmak için sahte Chrome tarayıcı güncellemelerini kullanan bir planı ifşa ederek siber suçlulara kontrol ve veri erişimi sağlar.
- Olası SocGholish Bağlantısı: SocGholish’e benzemekle birlikte, araçlardaki farklılıklar doğrudan bir bağlantı hakkında şüphe uyandırarak gelişen taktikleri vurgular.
- Başlatma Panelleri Olarak Tehlike Altındaki Siteler: Güvenliği ihlal edilmiş web siteleri, hükümet ve finans dahil olmak üzere çeşitli sektörleri etkileyen saldırı için fırlatma rampası görevi görür.
- RAT’e Giden Aldatıcı Yol: Kurbanlar, bilmeden, NetSupport Manager’ı etkinleştiren kötü niyetli bir JavaScript dosyası olan “Browser_portable.js”yi indirerek sahte güncellemeye kanıyorlar.
- Acil Dikkat İhtiyacı: Trellix’in keşfi, gelişen siber tehditlere karşı koymada küresel tehdit istihbaratının ve gelişmiş güvenlik çözümlerinin kritik öneminin altını çiziyor.
Siber güvenlik firması Trellix, kendisini meşru bir Chrome tarayıcı güncellemesi gibi göstererek, masum kurbanları istismar eden yeni bir siber kampanya belirledi. Aldatıcı düzen, NetSupport Manager RAT olarak bilinen kötü amaçlı bir uzaktan yönetim aracı (RAT) kullanır ve tehdit aktörlerinin kurbanların bilgisayarlarına yetkisiz erişim elde etmesine ve kontrolü ele geçirmesine olanak tanır.
Ayrıca, Trellix Gelişmiş Araştırma Merkezi, daha önce bildirilen bir SocGholish kampanyasıyla çarpıcı benzerlikler ortaya çıkardı, ancak kesin bir bağlantı bulmak zor. Yine de, iki kampanya arasındaki somut bağlantılar kıt olmaya devam ediyor.
Haziran 2023’ün sonlarında ortaya çıkan kampanya, güvenliği ihlal edilmiş web sitelerini sahte Chrome güncellemesini sunmak için bir platform olarak kullanıyor. Kurbanlar, farkında olmadan NetSupport Manager RAT’ı sistemlerine davet ederek sahte güncellemeyi indirip yüklemeye kandırılıyor. Kötü amaçlı yazılım, siber suçluların hassas bilgileri çalmasına ve kurban bilgisayarları kendi çıkarlarına göre manipüle etmesine olanak tanır.
Kampanyanın işleyiş biçimi, güvenliği ihlal edilmiş web sitelerine, saldırganların komuta ve kontrol sunucusundan JavaScript içeriğini alan, özenle hazırlanmış bir HTML komut dosyası etiketi enjekte etmeyi içeriyor.
Görünüşe göre otomatik olan bu teknik, sahte tarayıcı güncelleme hilesine kanan masum kurbanlara dayanıyor. Planın başarısı, büyük ölçüde güvenliği ihlal edilmiş web sitelerinin yaygınlığına bağlıdır.
Trellix araştırmacıları, bu kampanyanın bir Ticaret Odası web sitesine sızdığını ve devlet kurumları, finans kurumları ve danışmanlık hizmetlerinden gelen trafikle ilgili kanıt buldu. Site, enjekte edilen komut dosyasından o zamandan beri temizlenmiş olsa da, en az bir gün boyunca tehlikeye maruz kaldı.
Aldatıcı yolculuk, kurbanlar güvenliği ihlal edilmiş bir web sitesinde enjekte edilen komut dosyasıyla karşılaştıklarında başlar ve onları sahte bir tarayıcı güncelleme sayfasına yönlendirir. Kullanıcıları farkında olmadan NetSupport RAT’ı yüklemeye yönlendiren bu manipülasyon yeni değil; benzer taktikler, SocGholish kampanyası gibi geçmiş örneklerde belgelenmiştir.
Ancak, SocGholish’ten farklı olan, mevcut kampanyada kullanılan araçlardır. SocGholish, RAT indirme ve kurulumunu kolaylaştırmak için WMI yetenekleriyle PowerShell’den yararlandı. Buna karşılık, mevcut kampanya, kötü niyetli operasyonlarını gerçekleştirmek için toplu iş dosyalarını (.BAT), VB komut dosyalarını ve Curl aracını kullanıyor. Bu farklı araçların kullanımı, siber suçluların gelişen stratejilerinin altını çiziyor.
Bir kurban sahte tarayıcı güncellemesinin cazibesine kapılır ve “Chrome’u Güncelle” bağlantısını tıklarsa, kötü niyetli bir JavaScript dosyası olan “Browser_portable.js”yi içeren “UpdateInstall.zip” adlı bir ZIP arşivi indirilmek üzere başlatılır. Bu komut dosyası, saldırının sonraki aşaması için bir indirici görevi görür.
İndirilen 7-zip yardımcı programı aracılığıyla NetSupport Manager RAT’ın çıkarılmasının ardından, yürütme, “2.bat” toplu iş dosyası tarafından düzenlenen, planlanmış bir görev aracılığıyla gerçekleşir. Ayrıca, bu toplu iş dosyası aynı zamanda RAT için süreklilik sağlayarak sistem başlangıcında otomatik yürütmeyi garanti eder.
RAT için kötü niyetli yapılandırma dosyası (“client32.ini”), 5.252.178.48 olarak ayarlanmış bir ağ geçidi adresini ortaya koyuyor. Bu noktada, RAT’ın kurbanın sistemine sağlam bir şekilde yerleşmesi ile tehdit aktörleri, daha fazla kötü amaçlı yazılım dağıtımı, veri hırsızlığı, ağ keşfi ve yanal hareket gerçekleştirmelerini sağlayan önemli bir kontrole sahip olur.
Sonuç olarak bu kampanya, tehdit aktörlerinin kötü niyetli gündemlerini ilerletmek için sürekli olarak başarılı teknikleri kullandıklarını hatırlatıyor. Sahte tarayıcı güncellemesi gibi tanıdık tuzakların konuşlandırılması, bu saldırıların ısrarlı doğasının altını çiziyor.
Her zaman güncellenmese de RAT’lerin çoğalması, siber suçlular için kalıcı yararlarını gözler önüne seriyor. Saldırganlar giderek daha sofistike taktikler benimserken, tespit etme zorluğu da artıyor. VBScript ve Batch betiği gibi yerel Windows betik dillerinin Curl gibi araçlarla birlikte kullanılması, bu dillerin uyarlanabilirliğini ve yenilikçiliğini örneklemektedir.
Trellix’in Gelişmiş Araştırma Merkezi Kıdemli Başkan Yardımcısı Joseph Tal, bu NetSupport RAT saldırılarının yaygınlığının, kapsamlı küresel tehdit istihbaratı ve yenilikçi güvenlik çözümlerine duyulan ihtiyacın altını çizdiği konusunda uyardı.
Verimatrix Güvenlik ve Tehdit Araştırmaları Kıdemli Başkan Yardımcısı Dr Klaus Schenk, bu konuda yorum yaparak Hackread.com’a şunları söyledi: “NetSupport Manager Uzaktan Erişim Truva Atı’nı yaymak için sahte Chrome tarayıcı güncellemelerinden yararlanan tehdit aktörlerinin raporları kaygı vericidir. Tarayıcı güncellemelerini kötüye kullanma saldırı vektörü yaygın olsa da, bu özel kampanya karmaşıklığı ve hedeflemesiyle öne çıkıyor. Rus devlet çıkarlarıyla uyumlu siber casusluk faaliyetleriyle tanınan SocGholish grubuna atfedilmesi, bunu yüksek öncelikli bir tehdit haline getiriyor.“
“Bu saldırıyı SocGholish’e bağlayan detaylar kesin olmasa da Trellix’in incelemesi güvenilir görünüyor. Tehdit aktörleri, Chrome’un pazar hakimiyetini kullanarak güvenilir bir tuzak oluşturmak için açıkça zaman harcadılar. Bu saldırıların ortaya çıkıp çıkmadığını görmek için biraz beklemenizi tavsiye ederim, ancak bu tehdidi tespit etmek ve azaltmak için olay müdahalesine ve kullanıcı eğitimine öncelik vermek iyi bir fikir olacaktır,” diye ekledi Tal.
“Kullanıcıların yine de kötü niyetli bir bağlantıyı tıklaması gerekse de, bu saldırının karmaşıklığı, savunmalardan kaçma olasılığını artırıyor. Yeni gelişmeleri izlemeye devam etmeliyiz, ancak kuruluşlar sistemleri sağlamlaştırmak, tarayıcıları güncellemek ve personeli bu tehdit hakkında bilgilendirmek için hızlı hareket etmelidir,” diye tavsiye ediyor Tal.
Bununla birlikte, sürekli gelişen tehdit ortamı, özellikle daha fazla kuruluş web uygulamaları için Chromium tabanlı tarayıcılara bel bağladığından, siber güvenliğe proaktif ve bütüncül bir yaklaşım gerektiriyor.
İLGİLİ MAKALELER
- Korsan oyunlardaki yeni kötü amaçlı yazılım, Windows Güncellemelerini devre dışı bırakır
- Sahte ROBLOX &Nintendo oyun çatlakları, ChromeLoader kötü amaçlı yazılımını düşürür
- Sahte Chrome ve Firefox tarayıcı güncellemesi, kullanıcıları kötü amaçlı yazılım bulaşmasına neden olur
- 20 milyondan fazla Chrome kullanıcısı sahte kötü amaçlı Reklam Engelleyiciler yükledi
- Kötü Amaçlı Reklamcılıkta ve Sahte Windows Güncellemelerinde Bulunan Big Head Fidye Yazılımı