Tüm sistem güncellemeleri iyi anlama gelmez ve hatta bazıları kötü amaçlı yazılım yüklemeniz için sizi kandırır.
Kötü amaçlı reklamcılık, ister arama motoru sonuç sayfalarındaki reklamlardan isterse popüler web sitelerinden olsun, son zamanlarda bir rönesansın tadını çıkarıyor gibi görünüyor. Tarayıcılar bugün 5 veya 10 yıl öncesine göre daha güvenli olduğundan, gördüğümüz saldırıların tümü bir tür sosyal mühendislik içeriyor.
Bir tehdit aktörü, kullanıcıları Windows güvenlik güncellemesi gibi görünen bir şeye yönlendirmek için kötü amaçlı reklamlar kullanıyor. Şema, Microsoft’tan beklediğinize çok benzeyen bir tam ekran animasyonu görüntülemek için web tarayıcısına dayandığından çok iyi tasarlanmıştır.
Sahte güvenlik güncellemesi, kampanya sırasında kötü amaçlı yazılım korumalı alanlarından habersiz olan ve neredeyse tüm antivirüs motorlarını atlayan yeni tanımlanmış bir yükleyici kullanıyor. Bu yükleyiciye “yama” uygulamak için bir araç yazdık ve gerçek yükünü Aurora hırsızı olarak belirledik. Bu blog gönderisinde bulgularımızı ve bu kampanyanın diğer saldırılarla nasıl bağlantılı olduğunu ayrıntılarıyla anlatıyoruz.
İkna edici bir “sistem güncellemesi”
Windows kullanıcıları, genellikle çalışma saatlerini kesintiye uğratan veya yoğun bir oyunun ortasında ortaya çıkan sistem güncellemelerine oldukça aşinadır. Bu olduğunda, sadece yüklenmesi gerekenleri yüklemek ve günlerine devam etmek isterler.
Bir tehdit aktörü, yetişkinlere yönelik trafiği hedefleyen ve kurbanları bir sistem güvenlik güncellemesi gibi görünen şeylerle kandıran popunder reklamları satın alıyor.
Şekil 1: Sahte bir sistem güncellemesi ekranı ele geçiriyor
Göründüğü kadar ikna edici, yukarıda gördüğünüz şey aslında tam ekranda görüntülenen bir tarayıcı penceresi. Bu, ChromeUpdate.exe adlı güncelleme dosyasını indirirken daha belirgin hale gelir.
Şekil 2: Web tarayıcısından indirilen ‘Chrome güncellemesi’
Tamamen Saptanamayan (FUD) kötü amaçlı yazılım
Dosya adı ChromeUpdate.exe olarak görünürken, bazı karakterlerin benzer görünmesi ancak diskte farklı olması için Kiril alfabesini kullanır. Aşağıdaki resimde görülebileceği gibi, hex temsili %D0%A1hr%D0%BEm%D0%B5U%D1%80d%D0%B0t%D0%B5.exe’dir:
Şekil 3: Hex kodlama ve Kiril alfabesi
Örneği bir sanal alana ilk kez koyduğumuzda, bariz bir şey göremedik, hatta bunun kötü amaçlı bile olduğunu göremedik. Dosya basitçe çalışır ve hızlı bir şekilde çıkar. Birkaç hafta boyunca, aşağı yukarı aynı görünen dokuz farklı örnek topladık.
Ayrıca, tehdit aktörünün yeni yapılarının her birini antivirüs motorları tarafından tespit edilip edilmediğini kontrol etmek için Google’a ait bir hizmet olan VirusTotal’a yüklediğini fark ettik. Her yeni örneği gönderen ilk kullanıcı, bunları her zaman Türkiye’den yükledi (ülke kodu TR) ve birçok durumda dosya adı derleyiciden yeni gelmiş gibi görünüyordu (yani build1_enc_s.exe).
Şekil 4: VirusTotal’a kullanıcı gönderimleri
VirusTotal tam bir uç nokta güvenlik ürününün yerini tutamazken, 70 AV motoruyla bir dosyanın kötü amaçlı olup olmadığını hızlı bir şekilde kontrol etmek için genellikle iyi bir göstergedir. 2 haftadan uzun bir süre boyunca, numuneler VT’de 0 saptamaya sahipti ve saptamalar, Morphisec’in bir blog gönderisine kadar görünmeye başlamamıştı. Bu yeni yükleyici, Geçersiz Yazıcı olarak adlandırılıyor ve şimdiye kadar güvenlik ürünlerini baypas etmek için yalnızca bu tehdit aktörü tarafından kullanılmış gibi görünüyor.
Şekil 5: VirusTotal tespitleri, blog yayınıyla aynı zamana denk geliyor
Korumalı alanlarına gönderdiğimiz bir dosyayla benzerlikler belirleyen Threatray sayesinde aslında Morphisec’in bloguna rastladık. Hizmetin yerleşik OSINT’i benzer örnekleri belirledi ve bunları güvenlik makaleleriyle ilişkilendirdi.
Şekil 6: Tehdit tepsisi analiz sayfası
yükleyici yama
Geçersiz Yazıcı, bilgisayarın grafik kartını ve özellikle AMD, NVidia gibi bilinen üreticilerle karşılaştırdığı satıcı kimliğini kontrol eder. Genel olarak sanal makineler ve korumalı alanlar gerçek donanım kullanmaz ve kontrolü geçemez.
Topladığımız örnekleri yamalayabildik ve yüklerini tanımlayabildik. Yama, grafik kartı kontrolünü rastgele bir sayıyla değiştirmekten ve her zaman doğru döndürmekten oluşur, bu nedenle dosyanın herhangi bir sanal alanda çalışmasına izin verir.
Şekil 7: Yükleyiciye yama uygulamak için Python betiği
OpenAnalysis UnpacMe’nin otomatikleştirilmiş kötü amaçlı yazılım paketi açma hizmeti, artık Örneklerin Geçersiz Yazıcı yükleyici kullanılarak düzgün bir şekilde paketten çıkarılmasını desteklemektedir. Hangi kötü amaçlı yazılım ailesinin dağıtıldığını ve uzlaşma göstergelerini belirlememizi sağladı. Örneğin, örneklerimizden biri (31c425510fe7f353002b7eb9d101408dde0065b160b089095a2178d1904f3434) aynı komut ve kontrol sunucusuna (94.142.138) sahiptir.[.]218) Morphisec’in blogunda bahsedildiği gibi.
Şekil 8: UnpacMe sonuçları sayfası
Bu özel kötü amaçlı reklamcılık kampanyasında kullanılan yük, sistemlerden kimlik bilgilerini toplamak için tasarlanmış popüler bir kötü amaçlı yazılım olan Aurora Stealer’dı.
kampanya istatistikleri
Tehdit aktörü, sahte sistem güncelleme web sayfasının ziyaretçileri hakkında üst düzey istatistikleri izlemek için bir panel kullanıyor. Bu paneldeki rakamlara göre 27.146 potansiyel benzersiz kurban vardı ve bunların 585’i son 49 gün içinde kötü amaçlı yazılımı indirdi.
Şekil 9: Tarayıcı ziyaretlerini ve indirmeleri gösteren panel
Şekil 10: Tarayıcı kullanıcı aracıları, IP adresleri ve coğrafi konum
Savaş ve Rusya referansları
Bu kötü amaçlı reklamcılık kampanyasının ve Morphisec’in ortaya çıkardığı gibi diğerlerinin arkasında tek bir tehdit unsuru olduğuna inanıyoruz. Kötü amaçlı yazılımın yazarı, FUD kötü amaçlı yazılımı oluşturmakla çok ilgileniyor gibi görünüyor ve doğrulamak için sürekli olarak aynı gönderen profilini kullanarak VirusTotal’a yüklüyor.
Sahte Chrome Güncelleme sayfasında Ukrayna’daki savaşa ilişkin olası bir referans olduğunu fark etmeden edemedik ve şu yorumu yaptık:
Şekil 11: Açıklamalı HTML kodu
Bu tehdit aktörüne ait web sitelerinden bazıları kötü amaçlı yazılım yüklemiyordu, bunun yerine Rusya’nın şehirlerini ve manzaralarını tanıtan tek bir YouTube videosu vardı:
Şekil 12: 12K HDR’de Rusya hakkında YouTube videosu
Ek olarak, teknik destek dolandırıcılığıyla ve hatta tehdit aktörüne ait gibi görünen bir Amadey paneliyle bazı bağlantılar bulduk.
Koruma
Malwarebytes, ilgili kötü amaçlı reklamları engelleyerek kullanıcıları bu kötü amaçlı reklamcılık kampanyasından zaten korumuştur. Yükleri Spyware.Aurora olarak algılıyoruz.
Örnek ve ikili yama konusunda yardımları için Roberto Santos’a özel teşekkürler.
Uzlaşma Göstergeleri
Kötü amaçlı reklam kapısı
qqtube[.]ru
194.58.112[.]173
Sahte sistem güncelleme sayfası
activessd[.]ru
chistauyavoda[.]ru
xxxxxxxxxxxxxxx[.]ru
activehdd[.]ru
oled8kultra[.]ru
xhamster-18[.]ru
oled8kultra[.]site
activessd6[.]ru
activedebian[.]ru
shluhapizdec[.]ru
04042023[.]ru
clickaineasdfer[.]ru
moskovpizda[.]ru
pochelvpizdy[.]ru
evatds[.]ru
click7adilla[.]ru
grhfgetraeg6yrt[.]site
92.53.96[.]119
Geçersiz Yazıcı örnekleri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 Hırsızı C2
103.195.103[.]54:443
94.142.138[.]218:4561
Amadeus Stealer paneli
193.233.20[.]29/games/category/Login.php
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme edinin.
ŞİMDİ DENE