Sahte Tarayıcı Güncellemelerine Dikkat Edin

   Mayıs 31, 2024  Posted in GBHackers


eSentire’ın Tehdit Yanıt Birimi (TRU), sahte tarayıcı güncellemelerini içeren karmaşık bir kötü amaçlı yazılım kampanyasını ortaya çıkardı.

Bu kampanya iki tehlikeli kötü amaçlı yazılım çeşidinin yayılmasından sorumlu olmuştur: BitRAT ve Lumma Stealer.

Saldırganlar, kullanıcıları kötü amaçlı dosyaları indirmeye ikna etmek için sahte güncelleme mekanizmaları kullanıyor ve bu da ciddi güvenlik ihlallerine yol açıyor.

eSentire’ın TRU’su, BitRAT ve Lumma Stealer sağlayan sahte güncellemelerin bir örneğini tespit etti. Sahte tarayıcı güncellemelerinin siber suçlular arasında popüler bir yem haline gelmesiyle, bu saldırı yöntemi giderek yaygınlaşıyor.

Enfeksiyon Zinciri

Bulaşma zinciri, bir kullanıcının enjekte edilmiş kötü amaçlı JavaScript kodu içeren virüslü bir web sayfasını ziyaret etmesiyle başlar.

Bu kod kullanıcıyı sahte bir güncelleme sayfasına yönlendirir.

Kötü amaçlı JavaScript kodu enjekte edildi
Kötü amaçlı JavaScript kodu enjekte edildi

All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo

Kötü amaçlı JavaScript kodu web sayfasında gizlenir ve yalnızca HTTP yönlendireni orijinal kötü amaçlı web sayfasıyla eşleştiğinde etkinleşir.

JavaScript'te gizlenen siteyi yönlendir
JavaScript’te gizlenen siteyi yönlendir

Chatgpt uygulamasında barındırılan sahte güncelleme sayfası[.]bulut sitesi, ‘Update.zip’ adlı bir ZIP arşivine yönelik bir indirme bağlantısı içerir.

Bu arşiv otomatik olarak kurbanın cihazına indirilir ve Discord’un İçerik Dağıtım Ağı’nda (CDN) barındırılır.

Discord CDN'sinden Update.zip dosyasını indirin
Discord CDN’sinden Update.zip dosyasını indirin

Yük Teslimatı

ZIP arşivi, kurban tarafından yürütüldükten sonra yükleri almak için ilk indirici görevi gören bir JavaScript dosyası (Update.js) içerir.

Arşivdeki birkaç PowerShell betiği, bir sonraki aşama yükleyicinin ve yüklerin bilinen bir BitRAT Komuta ve Kontrol (C2) adresinden indirilmesinden ve yürütülmesinden sorumludur.

PowerShell betiği yük dosyasını alıyor
PowerShell betiği yük dosyasını alıyor

Saldırı, her biri farklı amaçlara hizmet eden birden fazla dosya içeriyor:

  • s.png – Yükleyici + Lumma Stealer yükü
  • z.png – Kalıcılık + indirmeler için runkey oluşturan PowerShell betiği Yükleyici + BitRAT yükü
  • a.png – Yükleyici + BitRAT yükü
  • 0x.png – a.png’yi yeniden indiren ve çalıştıran BitRAT kalıcılık dosyası

PowerShell betiği AMSI’yi atlar, 0x.png yükünü 0x.log olarak yeniden adlandırır, C:\Users\Public dizininde gizler ve Kayıt Defteri Çalıştırma Anahtarını değiştirerek başlangıçta çalışacak şekilde ayarlar.

z.png, 0x.png ve a.png'yi alıyor
z.png, 0x.png ve a.png’yi alıyor

0x.log (0x.png) yükü, BitRAT veri dosyası a.png için kalıcılık mekanizması görevi gören ek bir PowerShell betiği içerir.

0x.log dosyası a.png’yi indirir ve çalıştırır.

Yükleyici

a.png ve s.png yük dosyalarındaki yükleme mekanizması hemen hemen aynıdır, tek fark hash’in kendisidir.

Yükleyici, Crypto Obfuscator (5.x) kullanılarak karartılmış bir .NET taşınabilir yürütülebilir (PE) dosyasıdır.

Şifresi çözülmüş yük ikili dosyasını PowerShell betiği dosyalarından yükler ve bunu RegSvcs.exe’ye enjekte eder.

AMSI bypass'ını ve yüklemesini gösteren a.png'nin basitleştirilmiş versiyonu
AMSI bypass’ını ve yüklemesini gösteren a.png’nin basitleştirilmiş bir versiyonu

BitRAT Özellikleri

BitRAT, aşağıdaki gibi yeteneklere sahip, zengin özelliklere sahip bir uzaktan erişim aracıdır:

  • İki bağlantı modu (doğrudan ters bağlantı ve Tor bağlantısı)
  • Yükseltilmiş ayrıcalıklar için UAC’den yararlanma
  • Proses koruması
  • 10.000’den fazla müşteriyi verimli bir şekilde yönetme yeteneği
  • Chrome’u destekleyen uzaktan tarayıcı özelliği
  • Çeşitli uygulamalar için şifre kurtarma
  • Kripto para birimi madenciliği için XMR madenci
  • SOCKS4 modunu kullanarak ters proxy
  • Uzak masaüstü erişimi
  • Web kamerası canlı yayını
  • Zip sıkıştırmalı dosya yöneticisi
  • Keylogger işlevleri
  • Sesli canlı yayın
  • SOCKS5 proxy desteği

Analiz edilen BitRAT örneği UPX paketliydi ve şifrelenmiş bir yapılandırma içeriyordu.

Şifre çözme rutini, Camellia şifre çözme rutininin anahtarı olarak MD5 karmasının ilk 16 karakterini kullanan birkaç adımdan oluşur.

Lumma Hırsızı

LummaC2 Stealer olarak da bilinen Lumma Stealer, C dilinde geliştirilmiş, bilgi çalan bir kötü amaçlı yazılımdır.

Kurbanların makinelerindeki kripto para cüzdanlarını, 2FA tarayıcı uzantılarını ve diğer hassas verileri hedefliyor.

Çalınan veriler, “Mozilla/5.0” ile başlayan kullanıcı aracısıyla HTTP POST istekleri aracılığıyla bir C2 sunucusuna gönderilir.

Lumma Stealer Payload'daki önemli dizeler
Lumma Stealer Payload’daki önemli dizeler

Çeşitli kötü amaçlı yazılımlar sunmak için sahte güncellemelerin kullanılması, operatörün erişimi ve etkiyi en üst düzeye çıkarmak için güvenilir adlardan yararlanma yeteneğini gösterir.

.NET yükleyicisinin her iki veri dosyasında da aynı olması, sahte güncelleme yükleyicisinin kötü amaçlı yazılım dağıtım hizmeti olma olasılığını gösterir.

Kötü amaçlı yazılım verisi muhtemelen değiştirilebilir ve gelecekte benzer olaylarda çeşitli türler yüklenecektir.

Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.



Source link