Ahnlab Güvenlik İstihbarat Merkezi (ASEC), Lummac2 kötü amaçlı yazılımlarından yararlanan yeni bir siber saldırı kampanyası ortaya çıkardı, bu da çatlak bir versiyonun kisvesi altında dağıtılan Toplam komutan.
Total Commander, gelişmiş arama, klasör senkronizasyonu ve FTP/SFTP desteği gibi özellikler sunan yaygın olarak kullanılan bir Windows dosya yönetim aracıdır.
Meşru yazılım, ücretli bir lisans gerektirmeden önce bir aylık ücretsiz deneme sağlarken, tehdit aktörleri, aracın yasadışı, çatlamış sürümleri arayan kullanıcıları hedefleyerek popülaritesini kullandı.
Saldırı, kullanıcılar çevrimiçi “Total Commander Crack” aradığında başlar.
Arama sonuçları arasında, sözde çatlağı indirmek için bağlantılar içeren yayınlarla karşılaşırlar.
Bu bağlantılar, son indirme sayfasına liderlik etmeden önce kullanıcıları Google Colab Drives ve Korklamalı Reddit yayınları da dahil olmak üzere birden fazla sayfa aracılığıyla yönlendirir.
Bu çok adımlı işlem otomatik değildir, ancak kullanıcıların bağlantıları manuel olarak tıklamasını gerektirir, bu da saldırının özellikle korsan yazılım elde etmeye çalışan bireyleri hedeflediğini gösterir.
Sofistike kötü amaçlı yazılım dağıtım mekanizması
İndirilen dosya, çift işgal edilen bir RAR dosyası içeren şifre korumalı bir zip arşividir.
İçinde, yürütme üzerine Lummac2 ile sistemi enfekte eden “Installer_1.05_38.2.exe” adlı bir yürütülebilir ürün bulunur.
Kötü amaçlı yazılım, NSI ve Otoit komut dosyaları kullanılarak birden fazla sıkıştırma katmanı dahil olmak üzere gelişmiş gizleme teknikleri kullanır.
Yürütüldüğünde, NSIS komut dosyası ExecShell Gizli bir toplu komut dosyası çalıştırma komutu (Nv.cmd).
Bu komut dosyası, değişkenleri komutlara ekleme ve analizi engellemek için anlamsız dizeler ekleme gibi teknikler kullanır.
Bir kez bozulduktan sonra, komut dosyasının otomatik tabanlı bir yükü yürüttüğü anlaşılır.
Otomatik komut dosyası hem şifreli bir Lummac2 ikili hem de çalışma zamanında şifresini çözmek ve belleğe yüklemek için gereken kabuk kodu içerir.
Otoit komut dosyalarına kötü amaçlı yazılımları gömme yöntemi, siber suçlular arasında yaygın bir taktiktir.
Lummac2: Kalıcı bir bilgi çalma tehdidi
Lummac2, 2023’ün başından beri aktif olan bilgi çalan bir kötü amaçlı yazılımdır.
Öncelikle, çatlaklar veya seri jeneratörler gibi yasadışı yazılım indirmeleri aracılığıyla kullanıcıları hedefler.
Çalıntı veriler, tehdit aktörleri tarafından işletilen komut ve kontrol (C&C) sunucularına gönderilir ve daha sonra karanlık web pazarlarında satılabilir veya ikincil saldırılar için kullanılabilir.
ASEC raporları, LumMAC2 enfeksiyonlarının neden olduğu kişisel veri ihlallerinin bazı durumlarda kurumsal ağ uzlaşmasına yol açtığını ve potansiyel etkisini artırdığını göstermektedir.
Bu kötü amaçlı yazılım kampanyasıyla ilişkili riskleri azaltmak için, kullanıcıların yalnızca resmi kaynaklardan yazılımı indirmeleri ve uygulamaların korsan veya çatlamış sürümlerinden kaçınmaları şiddetle tavsiye edilir.
Kuruluşlar ayrıca kötü amaçlı komut dosyalarını ve yürütülebilir dosyaları algılamak ve engellemek için sağlam uç nokta güvenlik önlemleri uygulamalıdır.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here