Siber suçlular, meşru ofis uygulamaları olarak gizlenmiş kötü amaçlı yazılımları dağıtmak için popüler bir yazılım barındırma platformu olan SourceForge’dan yararlanan sofistike bir plan geliştirdiler.
Saldırı, platformun projelere otomatik olarak atanan özelliğinden yararlanır ve öncelikle Rusça konuşan kullanıcıları hedefleyen kötü amaçlı yazılım dağıtım kampanyaları için ikna edici cepheler oluşturur.
Saldırganlar, meşru bir GitHub projesinden kopyalanan görünüşte zararsız Microsoft Office eklentileri içeren sourceForge.net’te “OfficePackage” adlı bir proje oluşturdu.
.png
)
Ancak, kullanıcılar ilgili OfficePackage.sourceForge.io etki alanını ziyaret ettiklerinde, indirme düğmelerine sahip ofis uygulamalarının heybetli bir listesini görüntüleyen farklı bir arayüzle karşılaşırlar.
Bu düğmeler, meşru bir SourceForge İndirme URL’si (Loading.sourceForge.io/download) gibi görünen şeylere yönlendirilir ve aldatmayı daha da artırır.
Securelist araştırmacılar, bu düğmeleri tıklamanın nihayetinde yaklaşık 7 megabaytlık sıkıştırılmış bir arşiv (vinstaller.zip) indirdiğini belirtti.
.webp)
Meşru ofis uygulamaları sıkıştırıldığında bile, tipik olarak daha fazla depolama alanı gerektirdiğinden, bu küçük boyut hemen şüpheleri artırmalıdır.
Kötü amaçlı yazılım distribütörleri enfeksiyon zinciri boyunca birden fazla aldatma katmanı kullanır.
.webp)
İlk indirme, parola eşlik eden bir metin dosyasında kolayca sağlanan şifre korumalı bir arşiv içerir.
Bu teknik genellikle şifre korumalı arşivleri tarayamayan güvenlik çözümlerini atlar. Çıkarıldıktan sonra kullanıcılar, meşru bir yazılım paketinin yanılsamasını oluşturmak için null bayt dolgu kullanarak yapay olarak 700 megabayt’a yapay olarak şişirilmiş bir yükleyici.msi dosyası bulurlar.
Karmaşık enfeksiyon mekanizması
Enfeksiyon süreci, tespitten kaçınmak için tasarlanmış çok sayıda aşamayı içerir. Yürütücü yürütüldüğünde, unrar.exe ve şifre korumalı bir arşiv (51654.rar) dahil olmak üzere birkaç dosyayı çıkarır.
.webp)
Kötü amaçlı yazılım daha sonra GitHub’dan arşiv şifresini içeren bir toplu iş dosyası (confvk) indiren gömülü Visual Basic betiğini yürütür. Bu toplu dosya, güvenlik yazılımı, sanal ortamlar ve araştırma araçlarını arayan anti-analiz kontrolleri gerçekleştirir.
chcp 65001 >nul
setlocal EnableDelayedExpansion
set "TOKEN=7604003483:AAGGIo6lbNlshSjnvsGlw7OmBjLBc4r55FA"
set "CHAT_ID=5674938532"
set "IP=Unknown"
set "Country=Unknown"Paketlendikten sonra, kötü amaçlı yazılım, Windows hizmetleri, kayıt defteri değişiklikleri ve planlanan görevler dahil olmak üzere birçok kalıcılık mekanizması oluşturur.
Son yük, iki kötü niyetli bileşenden oluşur: bir kripto para madenci madencisi ve klipsör cüzdanı adreslerinin kullanıcıların panolarındaki kendi adresleriyle yerini alan, kurbanların bilgisi olmadan işlemleri etkili bir şekilde ele geçiren bir kripto para birimi cüzdanı.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try 50 Request for Free