Tehdit aktörleri, NetSupport RAT’i, NetSupport RAT ile rekabet edebilecek Fake SG adlı yeni bir kampanya aracılığıyla sağlıyor. Sosyetik.
Bu kampanya, saldırıya uğramış WordPress web sitelerini kullanarak kurbanın tarayıcısını taklit eden özel bir açılış sayfası görüntüleyerek kurbanları riske atmak için yükler sunar.
Malwarebytes laboratuvarına göre, bu tür kampanyalar 2019’dan beri aktif ve Fake SG cephaneliğe yeni başlayan biri.
“FakeUpdates” (“SocGholish” olarak da adlandırılır) adlı kampanyalardan biri, web sitelerini hackleyerek insanları kandırarak sahte bir tarayıcı güncellemesi çalıştırmalarını sağladı.
Kurbanın Tarayıcısını Taklit Eden Sahte Güncelleme Sayfası
SocGholish, Cobalt Strike ve Mimikatz gibi araçları yüklemelerine yardım ettikten sonra birçok insanı hackleyen ve onlara casus yazılım gönderen tanınmış bir oyuncudur.
Başlangıçta, tehdit aktörleri güvenliği ihlal edilmiş web sitelerinin kontrolünü ele geçirdiler, çoğunlukla WordPress’i hedef aldılar ve sahte güncelleme şablonlarını göstermek için kod parçacığını enjekte ettiler.
FakeSG, kurbanın hangi tarayıcıyı çalıştırdığına bağlı olarak farklı tarayıcı şablonlarına sahiptir.
Temalı “güncellemeler” çok profesyonel görünüyor ve SocGholish muadilinden daha güncel.
Tehdit aktörleri, google-analytics gibi birçok alanın kaynak kodunu yükler.[.]com ve updateadobeflash[.]sırasıyla Google ve Adobe gibi davranan web sitesi.
Bu kaynak dosya, yasal görünmek için sahte tarayıcı güncelleme sayfasını görüntülemek için kullanılacak tüm grafiklere, yazı tiplerine ve metne sahiptir.
SocGholish, bağımsız Base64 kodlu görüntüleri kullanmaya yeni geçti, ancak daha önce medya dosyalarını almak için harici web sorgularına güveniyordu.
Bu kampanya, güvenliği ihlal edilmiş cihaza RAT kötü amaçlı yazılımını yüklemek için farklı yollar izliyor. Kullanılan tekniklerden biri URL kısayollarıdır.
Tuzak yükleyiciyi kullanır (Kurulum %20Updater%20(V104.25.151)-stabil. URL), güvenliği ihlal edilmiş başka bir WordPress sitesinden indirilen bir İnternet kısayolu.
Bu kısayol dosyayı indirir başlatıcı-up.hta WebDav uzantısını kullanan bir uzak sunucudan HTTP protokolüne.
Bu karmaşık şekilde şifrelenmiş betik, gerçek kötü amaçlı yazılım NetSupport RAT’ı indirmek için PowerShell’i başlatır.
NetSupport RAT başarıyla kurulduğunda, bilgileri çıkarmak için C2 sunucusuna bağlanacaktır.
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.