Tehdit aktörleri, Hijack Loader adlı bir kötü amaçlı yazılım yükleyicisi sunmak için ticari yazılımın ücretsiz veya korsan sürümleriyle şüphelenmeyen kullanıcıları cezbediyor ve bu yükleyici daha sonra Vidar Stealer olarak bilinen bir bilgi hırsızını devreye sokuyor.
Trellix güvenlik araştırmacısı Ale Houspanossian Pazartesi günü yaptığı bir analizde, “Düşmanlar, kullanıcıları Cisco Webex Meetings Uygulamasının (ptService.exe) truva atı haline getirilmiş kopyalarını içeren şifre korumalı arşiv dosyalarını indirmeleri için kandırmayı başardılar” dedi.
“Şüphelenmeyen kurbanlar ‘Setup.exe’ ikili dosyasını çıkarıp çalıştırdığında, Cisco Webex Meetings uygulaması gizlice gizli bir kötü amaçlı yazılım yükleyicisi yükledi ve bu da bilgi çalma modülünün yürütülmesine yol açtı.”
Başlangıç noktası, “Setup.exe” yürütülebilir adını içeren bir RAR arşiv dosyasıdır ancak gerçekte Cisco Webex Meetings’in ptService modülünün bir kopyasıdır.
Kampanyayı dikkate değer kılan şey, Hijack Loader’ı (diğer adıyla DOILoader veya IDAT Loader) gizlice başlatmak için DLL yandan yükleme tekniklerinin kullanılmasıdır; bu daha sonra bir AutoIt betiği aracılığıyla Vidar Stealer’ı düşürmek için bir kanal görevi görür.
Houspanossian, “Kötü amaçlı yazılım, Kullanıcı Hesabı Denetimi’ni (UAC) atlamak ve ayrıcalık yükseltme için CMSTPLA COM arayüzünü kullanmak için bilinen bir teknik kullanıyor.” dedi. “Ayrıcalık yükseltme başarılı olduktan sonra, kötü amaçlı yazılım kendisini Windows Defender’ın savunmadan kaçınma nedeniyle hariç tutma listesine ekledi.”
Saldırı zinciri, web tarayıcılarından hassas kimlik bilgilerini almak için Vidar Stealer’ı kullanmanın yanı sıra, ele geçirilen ana makineye bir kripto para madencisini dağıtmak için ek yüklerden yararlanıyor.
Açıklama, daha önce ReliaQuest tarafından geçen ayın sonlarında açıklanan bir teknik olan, web sayfalarının görüntülenmesiyle ilgili olduğu varsayılan bir sorunu çözmek için site ziyaretçilerini PowerShell komut dosyasını manuel olarak çalıştırmaya teşvik eden ClearFake kampanyalarındaki ani artışın ardından geldi.
PowerShell betiği daha sonra Hijack Loader için bir başlatma paneli görevi görüyor ve sonuçta Lumma Stealer kötü amaçlı yazılımını dağıtıyor. Çalıcı ayrıca, XMRig madencisini başlatan bir indirici olan Amadey Loader ve kripto işlemlerini saldırganın kontrolündeki cüzdanlara yeniden yönlendirmek için bir kesici kötü amaçlı yazılım da dahil olmak üzere üç veri daha indirebilecek donanıma sahip.
Proofpoint araştırmacıları Tommy Madjar, Dusty Miller ve Selena Larson, “Amadey’in JaskaGO olduğuna inanılan Go tabanlı bir kötü amaçlı yazılım gibi başka veriler de indirdiği gözlemlendi” dedi.
Kurumsal güvenlik firması, Nisan 2024’ün ortalarında, PowerShell kodunu kopyalayıp çalıştırmayı içeren benzer bir mekanizma kullanarak Vidar Stealer’ı yaymak için, güvenliği ihlal edilmiş sitelerin ziyaretçilerine hatalı tarayıcı güncellemesi sağlayan ClickFix adlı başka bir etkinlik kümesini de tespit ettiğini söyledi.
Malspam kampanyalarında aynı sosyal mühendislik taktiğini benimseyen bir diğer tehdit aktörü de, açıldığında şu hata mesajını görüntüleyen HTML ekleri içeren e-postalar gönderdiği gözlemlenen TA571’dir: “‘Word Online’ uzantısı tarayıcınızda yüklü değil” “
Mesajda ayrıca “Nasıl düzeltilir” ve “Otomatik düzeltme” olmak üzere iki seçenek bulunur. Kurban ilk seçeneği seçerse, Base64 kodlu bir PowerShell komutu bilgisayarın panosuna kopyalanır ve ardından bir PowerShell terminali başlatma ve içeriği yapıştırmak ve MSI yükleyicisini çalıştırmaktan sorumlu kodu çalıştırmak için konsol penceresine sağ tıklama talimatları gelir. Bir Visual Basic Komut Dosyasının (VBS).
Benzer şekilde, “Otomatik düzeltme” seçeneğini seçen kullanıcılar, “search-ms:” protokol işleyicisinden yararlanılarak Windows Gezgini’nde “fix.msi” veya “fix.vbs” adlı WebDAV tarafından barındırılan dosyalar görüntülenir.
Seçilen seçeneğe bakılmaksızın, MSI dosyasının yürütülmesi Matanbuchus’un kurulumuyla sonuçlanırken, VBS dosyasının yürütülmesi DarkGate’in yürütülmesine yol açar.
Kampanyanın diğer çeşitleri de NetSupport RAT’ın dağıtımıyla sonuçlandı; bu da, başarılı olmak için kullanıcının önemli ölçüde kullanıcı etkileşimi gerektirmesine rağmen yemleri ve saldırı zincirlerini değiştirme ve güncelleme çabalarının altını çizdi.
Proofpoint, “Meşru kullanım, kötü amaçlı kodu saklamanın birçok yolu ve kurbanın kötü amaçlı kodu bir dosyayla doğrudan ilişkilendirmeden manuel olarak çalıştırması, bu tür tehditlerin tespitini zorlaştırıyor” dedi.
“Antivirüs yazılımları ve EDR’ler pano içeriğini denetlemede sorunlar yaşayacağından, kötü amaçlı HTML/sitenin kurbana sunulmasından önce tespit ve engellemenin yapılması gerekiyor.”
Bu gelişme aynı zamanda eSentire’ın Indeed’i taklit eden benzer web sitelerinden yararlanan bir kötü amaçlı yazılım kampanyasını açığa çıkarmasıyla da ortaya çıktı.[.]com, ekip oluşturma fikirleri sunduğunu iddia eden bir yem belgesi yoluyla SolarMarker bilgi çalan kötü amaçlı yazılımdan vazgeçecek.
Kanadalı siber güvenlik şirketi, “SolarMarker, arama motoru sonuçlarını manipüle etmek ve aldatıcı bağlantıların görünürlüğünü artırmak için arama motoru optimizasyonu (SEO) zehirleme tekniklerini kullanıyor” dedi.
“Saldırganların, kullanıcıları kötü amaçlı sitelere yönlendirmek için SEO taktiklerini kullanması, meşru görünseler bile arama motoru sonuçlarına tıklama konusunda dikkatli olmanın önemini vurguluyor.”