Sahte web tarayıcı güncellemeleri, uzaktan erişim truva atları (RAT’lar) ve BitRAT ve Lumma Stealer (diğer adıyla LummaC2) gibi bilgi çalan kötü amaçlı yazılımlar sunmak için kullanılıyor.
Siber güvenlik firması eSentire yeni bir raporunda, “Sahte tarayıcı güncellemeleri, tanınmış SocGholish kötü amaçlı yazılımınınkiler de dahil olmak üzere çok sayıda kötü amaçlı yazılım bulaşmasından sorumlu olmuştur.” dedi. “Nisan 2024’te FakeBat’in benzer sahte güncelleme mekanizmaları aracılığıyla dağıtıldığını gözlemledik.”
Saldırı zinciri, potansiyel hedeflerin, kullanıcıları sahte bir tarayıcı güncelleme sayfasına (“chatgpt-app) yönlendirmek için tasarlanmış JavaScript kodu içeren bubi tuzaklı bir web sitesini ziyaret etmesiyle başlar.[.]bulut”).
Yönlendirilen web sayfası, Discord’da barındırılan ve otomatik olarak kurbanın cihazına indirilen bir ZIP arşiv dosyasına (“Update.zip”) yönelik bir indirme bağlantısıyla birlikte gelir.
Tehdit aktörlerinin genellikle Discord’u bir saldırı vektörü olarak kullandığını belirtmekte fayda var; Bitdefender’ın yakın zamanda yaptığı bir analiz, son altı ay içinde kötü amaçlı yazılım, kimlik avı kampanyaları ve spam dağıtan 50.000’den fazla tehlikeli bağlantıyı ortaya çıkardı.
ZIP arşiv dosyasında, PNG görüntü dosyaları biçimindeki uzak bir sunucudan BitRAT ve Lumma Stealer dahil olmak üzere ek yüklerin alınmasından sorumlu PowerShell komut dosyalarının yürütülmesini tetikleyen başka bir JavaScript dosyası (“Update.js”) bulunur.
Bu şekilde ayrıca kalıcılık oluşturmaya yönelik PowerShell komut dosyaları ve öncelikle son aşamadaki kötü amaçlı yazılımı başlatmak için kullanılan .NET tabanlı bir yükleyici de alınır. eSentire, aynı yükleyicinin hem BitRAT hem de Lumma Stealer’ı dağıtmak için kullanılması nedeniyle yükleyicinin muhtemelen bir “kötü amaçlı yazılım dağıtım hizmeti” olarak tanıtıldığını öne sürdü.
BitRAT, saldırganların verileri toplamasına, kripto para madenciliği yapmasına, daha fazla ikili dosya indirmesine ve virüslü ana bilgisayarlara uzaktan kumanda etmesine olanak tanıyan, zengin özelliklere sahip bir RAT’tır. Ağustos 2022’den bu yana ayda 250 ila 1.000 ABD Doları arasında fiyatla satışa sunulan bir emtia hırsızı kötü amaçlı yazılım olan Lumma Stealer, web tarayıcılarından, kripto cüzdanlarından ve diğer hassas ayrıntılardan bilgi yakalama olanağı sunuyor.
Şirket, “Sahte tarayıcı güncelleme tuzağının, saldırganlar arasında bir cihaza veya ağa giriş aracı olarak yaygın hale geldiğini” belirterek, bunun “operatörün erişimi ve etkiyi en üst düzeye çıkarmak için güvenilir adlardan yararlanma yeteneğini gösterdiğini” belirtti.
Bu tür saldırılar genellikle otomatik indirmelerden ve kötü amaçlı reklamcılık tekniklerinden yararlanırken, ReliaQuest geçen hafta yayınlanan bir raporda, ClearFake kampanyasının kullanıcıları kandırarak kötü amaçlı PowerShell kodunu kopyalama, yapıştırma ve manuel olarak çalıştırma bahanesiyle kandıran yeni bir çeşidini keşfettiğini söyledi. bir tarayıcı güncellemesi.
Özellikle, kötü amaçlı web sitesi “bu web sayfasını görüntülerken bir şeylerin ters gittiğini” iddia ediyor ve site ziyaretçisine, gizlenmiş PowerShell kodunu kopyalayıp bir PowerShell terminalinde çalıştırmayı içeren bir dizi adımı izleyerek sorunu çözmek için bir kök sertifika yüklemesi talimatını veriyor .
Şirket, “PowerShell kodu yürütüldüğünde, DNS önbelleğini temizlemek, bir mesaj kutusu görüntülemek, daha fazla PowerShell kodu indirmek ve ‘LummaC2’ kötü amaçlı yazılımını yüklemek dahil olmak üzere birçok işlevi yerine getiriyor” dedi.
Siber güvenlik firmasının paylaştığı bilgilere göre Lumma Stealer, RedLine ve Raccoon’la birlikte 2023’te en yaygın bilgi hırsızlarından biri olarak ortaya çıktı.
“LummaC2’den elde edilen ve satış için listelenen kütüklerin sayısı 2023’ün 3. çeyreğinden 4. çeyreğine kadar %110 arttı.” “LummaC2’nin rakipler arasında artan popülaritesi muhtemelen yüksek başarı oranına bağlı; bu da onun sistemlere başarıyla sızma ve hassas verileri tespit edilmeden dışarı çıkarma konusundaki etkinliği anlamına geliyor.”
Bu gelişme, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), yetişkinlere yönelik oyunlar ve Microsoft Office’in kırık sürümleri için kötü amaçlı yükleyicileri dağıtmak ve sonuçta çeşitli yazılımları dağıtmak için bir kanal olarak webhard’ları (web sabit diskinin kısaltması) kullanan yeni bir kampanyanın ayrıntılarını açıklamasıyla birlikte geldi. Orcus RAT, XMRig miner, 3proxy ve XWorm gibi kötü amaçlı yazılımlar.
Korsan yazılım sunan web sitelerini içeren benzer saldırı zincirleri, PrivateLoader ve TaskLoader gibi kötü amaçlı yazılım yükleyicilerin konuşlandırılmasına yol açtı. Bu yazılımların her ikisi de diğer siber suçluların kendi yüklerini teslim etmeleri için yükleme başına ödeme (PPI) hizmeti olarak sunuluyor.
Ayrıca Silent Push’un CryptoChameleon’un DNSPod’u “neredeyse özel kullanımı” hakkındaki yeni bulgularını da takip ediyor[.]com ad sunucuları kimlik avı kiti mimarisini destekleyecek. Çinli Tencent şirketinin bir parçası olan DNSPod’un, kötü niyetli, kurşun geçirmez barındırma operatörlerine hizmet sağlama geçmişi var.
Şirket, “CryptoChameleon, tehdit aktörlerinin tek bir alan adına bağlı büyük miktardaki IP’ler arasında hızlı bir şekilde geçiş yapmasına olanak tanıyan hızlı akış kaçırma tekniklerine girişmek için DNSPod ad sunucularını kullanıyor” dedi.
“Hızlı akış, CryptoChameleon altyapısının geleneksel karşı önlemlerden kaçmasına olanak tanıyor ve eski anlık IOC’lerin operasyonel değerini önemli ölçüde azaltıyor.” en az yedi birincil sosyal medya hesabını ve 250’den fazla hesaptan oluşan bir CIB ağını kullanmak.