Siber Suçlular, Fidye Yazılımı Yüklerini Sağlamak İçin Kimlik Avı ve EV Sertifikalarını Birleştiriyor


15 Eylül 2023THNFidye Yazılımı / Siber Tehdit

RedLine ve Vidar bilgi hırsızlarının arkasındaki tehdit aktörlerinin, Genişletilmiş Doğrulama (EV) kod imzalama sertifikalarıyla imzalanan ilk verileri yayan kimlik avı kampanyaları aracılığıyla fidye yazılımlarına yöneldiği gözlemlendi.

Trend Micro araştırmacıları bu hafta yayınlanan yeni bir analizde “Bu, tehdit aktörlerinin tekniklerini çok amaçlı hale getirerek operasyonlarını kolaylaştırdıklarını gösteriyor.” dedi.

Siber güvenlik şirketi tarafından araştırılan olayda, adı açıklanmayan bir kurbanın önce EV kod imzalama sertifikalarına sahip bir bilgi hırsızı kötü amaçlı yazılım, ardından aynı dağıtım tekniğini kullanan fidye yazılımı aldığı söyleniyor.

Geçmişte QakBot enfeksiyonları, güvenlik korumalarını atlamak için geçerli kod imzalama sertifikalarıyla imzalanmış örneklerden yararlanıyordu.

Saldırılar, kurbanları PDF veya JPG görüntüleri gibi görünen, ancak aslında çalıştırıldıktan sonra tehlikeye atmayı başlatan yürütülebilir dosyalar olan kötü amaçlı ekler çalıştırmaları için kandırmak amacıyla alışılmış tuzaklar kullanan kimlik avı e-postalarıyla başlar.

Siber güvenlik

Kurbanı hedef alan kampanya Temmuz ayında hırsızlığa yönelik kötü amaçlı yazılım dağıtırken, ağustos ayının başında sahte bir TripAdvisor şikayet e-posta eki (“TripAdvisor-Complaint.pdf.htm”) içeren bir e-posta mesajı aldıktan sonra bir fidye yazılımı yükü ortaya çıktı ve bir dizi adımı tetikledi. bu da fidye yazılımının yayılmasıyla sonuçlandı.

Araştırmacılar, “Bu noktada, araştırdığımız bilgi hırsızı örneklerinden farklı olarak, fidye yazılımı yükünü düşürmek için kullanılan dosyaların EV sertifikalarına sahip olmadığını belirtmekte fayda var” dedi.

“Ancak ikisi de aynı tehdit aktöründen geliyor ve aynı dağıtım yöntemini kullanarak yayılıyor. Bu nedenle yük sağlayıcı ile operatörler arasında bir iş bölümü olduğunu varsayabiliriz.”

Bu gelişme, IBM X-Force’un, bu yılın başlarında FormBook ve Remcos RAR’ı dağıtmak için bir kanal olarak kullanılan DBatLoader adlı kötü amaçlı yazılım yükleyicisinin geliştirilmiş bir sürümünü yayan yeni kimlik avı kampanyalarını keşfetmesiyle ortaya çıktı.

Fidye Yazılımı Yükleri

DBatLoader’ın yeni yetenekleri, UAC bypass’ını, kalıcılığını ve süreç enjeksiyonunu kolaylaştırıyor; bu da, hassas bilgileri toplayabilen ve sistemlerin uzaktan kontrolünü mümkün kılan kötü amaçlı programların devre dışı bırakılmasının aktif olarak sürdürüldüğünü gösteriyor.

Haziran sonundan bu yana tespit edilen son saldırılar, aynı zamanda Agent Tesla ve Warzone RAT gibi ticari amaçlı kötü amaçlı yazılımları da dağıtacak şekilde tasarlandı. E-posta mesajlarının çoğunda İngilizce konuşanlar seçilmiş olsa da İspanyolca ve Türkçe e-postalar da tespit edildi.

Şirket, “Gözlemlenen birkaç kampanyada, tehdit aktörleri, kötü amaçlı e-postaların SPF, DKIM ve DMARC e-posta kimlik doğrulama yöntemlerini geçmesini sağlamak için e-posta altyapısı üzerinde yeterli kontrolü kullandı” dedi.

“Kampanyaların çoğunluğu ek yükleri hazırlamak ve almak için OneDrive’dan yararlandı; küçük bir kısmı ise aktarımdan yararlandı[.]sh veya yeni/güvenliği ihlal edilmiş alan adları.”

YAKLAŞAN WEBİNAR

Kimlik Yeni Uç Noktadır: Modern Çağda SaaS Güvenliğinde Uzmanlaşmak

Adaptive Shield CEO’su Maor Bin ile SaaS güvenliğinin geleceğine derinlemesine dalın. Kimliğin neden yeni uç nokta olduğunu keşfedin. Hemen yerinizi ayırtın.

Becerilerinizi Güçlendirin

İlgili bir haberde Malwarebytes, yeni bir kötü amaçlı reklam kampanyasının, Google gibi arama motorlarında Cisco’nun Webex video konferans yazılımını arayan kullanıcıları BATLOADER kötü amaçlı yazılımını yayan sahte bir web sitesine yönlendirmek için hedef aldığını ortaya çıkardı.

BATLOADER, DanaBot olarak adlandırılan başka bir bilinen hırsız ve keylogger kötü amaçlı yazılımı olan ikinci aşama şifrelenmiş veriyi indirmek için uzak bir sunucuyla bağlantı kurar.

Tehdit aktörü tarafından benimsenen yeni bir teknik, parmak izi almak ve potansiyel kurbanları belirlemek için bir filtreleme ve yönlendirme mekanizması olarak izleme şablonu URL’lerinin kullanılmasıdır. Kriterleri karşılamayan ziyaretçiler (ör. korumalı alan ortamından kaynaklanan istekler) meşru Webex sitesine yönlendirilir.

Malwarebytes tehdit istihbaratı direktörü Jérôme Segura, “Reklamlar çok meşru göründüğünden, insanların bunlara tıklayıp güvenli olmayan siteleri ziyaret edeceğine dair çok az şüphe var” dedi.

“Bu reklamlarda kullanılan yazılımın türü, tehdit aktörlerinin, daha fazla ağ ‘sızma testi’ ve bazı durumlarda fidye yazılımı dağıtımı için kendilerine yararlı kimlik bilgileri sağlayacak kurumsal kurbanlarla ilgilendiğini gösteriyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link