Araştırmacılar HERHANGİ BİR KOŞU DeerStealer adı verilen ve meşru Google Authenticator indirme sayfaları gibi görünen aldatıcı web sitelerinden yararlanan bir kötü amaçlı yazılım dağıtım kampanyasını tespit etti.
İlk keşfetti web sitesi, “authentificcatorgoolglte[.]”.com”, muhtemelen kullanıcıları uygulamanın gerçek bir kaynağı olduğuna inandırmak için kullanılan, orijinal Google sayfası “safety.google/intl/en_my/cybersecurity-advancements”a oldukça benziyor.
Bu sahte web sitesinde “İndir” butonuna tıklandığında iki yönlü kötü amaçlı bir eylem tetikleniyor: Birincisi, ziyaretçinin IP adresi ve ülke bilgileri, muhtemelen izleme ve potansiyel kurban tanımlaması için bir Telegram botuna iletiliyor.
İkinci olarak, gerçek Google Authenticator uygulamasını indirmek yerine, web sitesi kullanıcıları GitHub’da “github” deposunda barındırılan kötü amaçlı bir dosyaya yönlendiriyor.[.]com/ggle24/ggle2.”
Muhtemelen DeerStealer kötü amaçlı yazılımının kendisini, meşru bir uygulama kılığında barındırıyor. İndirilip çalıştırıldığında, DeerStealer potansiyel olarak kullanıcıların bilgisi olmadan hassas kullanıcı verilerini çalabilir.
19 Haziran 2024’te “fedor_emeliyanenko_bog” adlı kullanıcı, kaynak siteyi içeren mesajları kaydetmeye başlayan ve bu kampanyayla bağlantılı aktif kimlik avı sitelerinin çıkarılmasına olanak tanıyan Telegram botu Tuc-tuc’u başlattı.
Araştırmacılar, sohbet geçmişini analiz ederek bu kimlik avı saldırılarıyla ilişkili alan adlarının bir listesini belirlediler.
GitHub’dan kaynaklanan Delphi tabanlı hırsız, eylemlerini gizlemek için gizleme yöntemini kullanan ve küresel değişkenlerden adresleri alan ve yürütme için JMP RAX’ı kullanan işlevlere sarılmış API çağrıları da dahil olmak üzere, Reedcode imzalı bir dosya aracılığıyla iletilen kötü amaçlı bir yükü kendi içinde barındırıyor.
Ek karartma, kod içindeki çok sayıda belirsiz sabitten kaynaklanır ve analizi karmaşıklaştırır. Yük, sistemde kalıcı bir dosya oluşturmadan doğrudan bellekte çalışır.
Analiz edilen örnek HERHANGİ BİR KOŞU Bir Komuta ve Kontrol (C2) sunucusuna bağlanan potansiyel bir istemcinin iletişim özelliklerini gösterir.
Örnek, muhtemelen kimlik doğrulama veya kayıt amaçlarına hizmet eden “paradiso4.fun” etki alanına cihazın donanım kimliğini (HWID) içeren bir POST isteği göndererek iletişimi başlatır.
Sunucunun yanıtını takiben, örnek, olası bir veri sızdırma girişimini veya raporlama işlevselliğini C2 sunucusuna öneren sonraki tek yönlü POST isteklerinde veri iletir.
Gönderilen verinin analizi, 0xC baytının yüksek frekansta olduğunu ortaya koyuyor ve bu da XOR’un sıfır özelliğine sahip olması nedeniyle 0xC anahtarıyla tek baytlık XOR şifrelemesi yapıldığını gösteriyor.
ANY.RUN sanal alanında kötü amaçlı yazılımları kolayca analiz edin – Ücretsiz Kayıt Olun
CyberChef kullanılarak yapılan şifre çözme, ana bilgisayar adları, işlemci ayrıntıları ve çalışan işlemler gibi sistem bilgilerini içeren PKZip arşivlerini başarıyla açığa çıkararak, şifreleme yöntemini doğrular ve olası veri sızdırma veya sistem izleme etkinliklerini gösterir.
Araştırmacılar, DeerStealer örneğiyle eşleşen bir YARA kuralı belirledikten sonra, dağıtım için sahte, meşru yazılım siteleri kullanma ortak taktiğini paylaşan ve XFiles ailesiyle bağlantılı iki benzer örnek keşfettiler.
DeerStealer derlenmiş bir makine kodu uygulamasıyken, XFiles aşamalı C2 iletişimini kullanan, XFiles’ın tek POST isteğinin aksine, veri iletimi öncesinde HWID gönderen .NET tabanlı bir kötü amaçlı yazılımdır.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
IOC’ler
| 4640d425d8d43a95e903d759183993a87bafcb9816850efe57ccfca4ace889ec |
| 569ac32f692253b8ab7f411fec83f31ed1f7be40ac5c4027f41a58073fef8d7d |
| 5e2839553458547a92fff7348862063b30510e805a550e02d94a89bd8fd0768d |
| 66282239297c60bad7eeae274e8a2916ce95afeb932d3be64bb615ea2be1e07a |
| a6f6175998e96fcecad5f9b3746db5ced144ae97c017ad98b2caa9d0be8a3cb5 |
| b116c1e0f92dca485565d5f7f3b572d7f01724062320597733b9dbf6dd84dee1 |
| b5ab21ddb7cb5bfbedee68296a3d98f687e9acd8ebcc4539f7fd234197de2227 |
| cb08d8a7bca589704d20b421768ad01f7c38be0c3ea11b4b77777e6d0b5e5956 |
| d9db8cdef549e4ad0e33754d589a4c299e7082c3a0b5efdee1a0218a0a1bf1ee |
| E24c311a64f57fd16ffc98f339d5d537c16851dc54d7bb3db8778c26ccb5f2d1 |