Yakın zamanda yapılan bir soruşturma, kullanıcı kimlik bilgilerini çalmak için meşru bir Google Chrome güncellemesi olarak maskelenen sürücü, kötü niyetli bir uygulamayı ortaya çıkardı.
Kötü amaçlı yazılım, şifreler de dahil olmak üzere hassas bilgileri sunmak için Dropbox’ın API’sinden yararlanır ve Kuzey Kore’nin “bulaşıcı röportaj” olarak bilinen siber ihale kampanyasıyla bağlantılıdır.
Sahte istemler aracılığıyla şifre hırsızlığı
Swift ve Objective-C’de yazılmış Driverasy, kullanıcıları kimlik bilgilerini açıklamak için kandırmak için aldatıcı taktikleri dağıtıyor.
Yürütme üzerine, kötü amaçlı yazılım, sahte bir hata istemini ve ardından bir kimlik doğrulama isteğini görüntüler ve meşru bir Google Chrome uyarısını taklit eder.
Kullanıcılardan sistem şifrelerini güvenli bir metin alanına girmeleri istenir. Girilen kimlik bilgileri daha sonra içsel olarak yakalanır ve işlenir.
Çalıntı şifre API kullanılarak Dropbox’a iletilir.
Kötü amaçlı yazılım, yenileme jetonu, istemci kimliği ve istemci sırrı da dahil olmak üzere önceden yapılandırılmış OAuth 2.0 kimlik bilgilerini kullanarak Dropbox ile iletişimi başlatır.
Bu parametreler, kötü amaçlı yazılımın Dropbox ile kimlik doğrulaması yapmasını ve çalınan verileri “Password.txt” adlı bir dosya olarak yüklemesini sağlar.
Kötü amaçlı yazılımların iş akışı, kurbanın genel IP adresini sorgulamakla başlar. https://api.ipify.org hizmet.
Bu adım muhtemelen izleme veya profil oluşturma amacıyla kullanılır. Parola yakalandıktan sonra, önceden tanımlanmış diğer dizelerin yanında bir diziye entegre edilir.
Bu değerler, bir HTTP isteği ile Dropbox’a iletim için hazırlanmıştır.
Dropbox API etkileşimi, dosya yükleme için bir URL isteği oluşturmayı içerir.
Çalınan şifre istek gövdesine dahil edilirken, OAuth jetonu başarılı kimlik doğrulama sağlar.
Verileri yükledikten sonra, kötü amaçlı yazılım, HTTP durum kodlarını kontrol ederek işlemi doğrular.
Diğer kötü amaçlı uygulamalara bağlantılar
Driverasy, Kuzey Kore’ye atfedilen diğer iki kötü amaçlı yazılım varyantı ile önemli benzerlikler paylaşıyor: ChromeUpdate ve CameraCcess.
Her üç uygulamanın tümü, ortak bir orijin veya paylaşılan geliştirme kaynaklarını gösteren, eksfiltrasyon için aynı Dropbox API kimlik bilgilerini kullanır.
Bu uygulamalar, kullanıcıları aldatmak ve meşru yazılım kisvesi altında hassas bilgileri çalmak için benzer teknikler kullanır.
Driverasy’nin keşfi, kötü niyetli amaçlar için Dropbox gibi güvenilir platformlardan yararlanan siber tehditlerin artan sofistike olduğunu vurgulamaktadır.
Kullanıcıların beklenmedik uygulamalar veya güncellemeler tarafından kimlik bilgileri istendiğinde dikkatli olmaları önerilir.
Kuruluşlar, sağlam uç nokta algılama mekanizmaları uygulamalı ve yetkisiz API kullanımını izlemelidir.
Bu olay, saldırganların kötü niyetli faaliyetler için meşru araçları nasıl kullandıklarını anlamanın öneminin altını çizmektedir.
Güvenlik araştırmacıları, bu tür tehditleri ayrıntılı olarak analiz ederek savunucuları gelecekte benzer saldırıları tespit etmek ve azaltmak için daha iyi donatabilirler.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here