Siber güvenlik araştırmacıları, Bitdefender’dan Dupe kurbanlarına, Venom Rat adlı uzaktan erişim Truva atı indirmeleri için sahte bir web sitesi reklam antivirüs yazılımı kullanan yeni bir kötü niyetli kampanyayı açıkladılar.
Kampanya, “Hacker News ile paylaşılan yeni bir raporda Domaintools Intelligence (DTI) ekibinin” kimlik bilgilerinden, kripto cüzdanlarından ödün vererek ve potansiyel olarak sistemlerine erişim satarak finansal kazanç hedeflemeyi açık bir niyet “olduğunu gösteriyor.
Söz konusu web sitesi, “Bitdefender-Download[.]com, “Site ziyaretçilerinin antivirüs yazılımının bir Windows sürümünü indirmek için reklamı yapar. Önemli” Windows için İndir “düğmesine tıklamak, bir Amazon S3 kovasına yönlendiren bir Bitbucket deposundan bir dosya indirme başlatır. Bitbucket hesabı artık etkin değil.
ZIP Arşivi (“Bitdefender.zip”), Venom Rat ile ilişkili kötü amaçlı yazılım yapılandırmalarını ve açık kaynaklı sömürü sonrası çerçeve Silenttrinity ve StormKitty Stealer ile ilgili kod ile ilgili kod yazılım konfigürasyonlarını içeren “StoreInstaller.exe” adlı bir yürütülebilir dosyayı içerir.
Venom Rat, veri toplama ve saldırganlara kalıcı uzaktan erişim sağlama yetenekleriyle birlikte gelen Quasar sıçanının bir dalıdır.
DoDaintools, Bitdefender’ı zamansal ve altyapı paylaştığı için maskelenen tuzak web sitesinin, Kanada Kraliyet Bankası ve Microsoft ile ilişkili giriş kimlik bilgilerini hasat etmek için kimlik avı faaliyetinin bir parçası olarak kullanılan diğer kötü amaçlı alanlar ve genel BT hizmetleriyle örtüştüğünü söyledi.
Şirket, “Bu araçlar konserde çalışıyor: Venom Rat gizlice, Stormkitty şifrelerinizi ve dijital cüzdan bilgilerinizi yakalar ve Silenttrinity, saldırganın gizli kalmasını ve kontrolü sürdürmesini sağlar.” Dedi.
“Bu kampanya sürekli bir trendin altını çiziyor: Saldırganlar, açık kaynaklı bileşenlerden inşa edilmiş sofistike, modüler kötü amaçlı yazılım kullanıyor. Bu” kendi maden yazılımını oluştur “yaklaşımı bu saldırıları daha verimli, gizli ve uyarlanabilir hale getiriyor.”
Açıklama, Sucuri’nin, kullanıcıları kurbanın bilgisayarı üzerinde uzaktan kumanda sağlayan ağır bir şekilde gizlenmiş bir Windows toplu komut dosyası olan Noanti-VM.Bat Rat’ı yüklemek için aldatmak için sahte bir google buluşma sayfaları kullanan bir ClickFix tarzı kampanyaya uyduğunda geliyor.
Güvenlik araştırmacısı Puja Srivastava, “Bu sahte Google Meet sayfası doğrudan kimlik bilgilerini çalmak için bir oturum açma formu sunmuyor.” Dedi. “Bunun yerine, sahte bir ‘mikrofon izni reddetti’ hatası sunan ve kullanıcıyı belirli bir PowerShell komutunu ‘düzeltme’ olarak kopyalayıp yapıştırmaya çağıran bir sosyal mühendislik taktiği kullanıyor.”
Ayrıca, yüksek düzeyde hedeflenmiş, sofistike bir kampanya taklit eden bir kampanya takmak için Google’ın uygulama dışı geliştirme platformunu kullanan kimlik avı saldırılarında bir artış izliyor.
“Polimorfik tanımlayıcılar gibi son teknoloji ürünü taktikler, Ortak Proxy mekanizmaları ve çok faktörlü kimlik doğrulama bypass teknikleri, saldırganlar, kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını hasat etmeyi amaçlamak,” KnowBe4 tehdit laboratuvarına gerçek zamanlı erişim sağlayarak “.
Kampanya, kimlik avı e -postalarını ölçekte teslim etmek için uygulama sayfasının kullanılmasını gerektirir ve tehdit aktörlerinin, mesajların geçerli bir alandan kaynaklanması nedeniyle SPF, DKIM ve DMARC gibi e -posta güvenlik savunmalarını atlamasına izin verir (“noreply@Appsheet[.]com “).
Ayrıca, e-postalar Facebook desteğinden geldiğini ve kullanıcıları 24 saatlik bir süre içinde itiraz gönderme bahanesi altında sahte bağlantılara tıklamak için kandırmak için hesap silme uyarılarını isteyin. Bubi sıkışmış bağlantılar, kurbanları kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını hasat etmek için tasarlanmış bir ortadaki düşman (AITM) kimlik avı sayfasına götürür.
Şirket, “Tespitten daha fazla kaçınmak ve iyileştirmeyi karmaşıklaştırmak için, saldırganlar e -postanın gövdesinde vaka kimlikleri olarak gösterilen benzersiz kimlikler oluşturmak için uygulamaların işlevselliğini kullanıyor.” Dedi.
“Her kimlik avı e -postasında benzersiz polimorfik tanımlayıcıların varlığı, her mesajın biraz farklı olmasını sağlar ve karmalar veya bilinen kötü amaçlı URL’ler gibi statik göstergelere dayanan geleneksel algılama sistemlerini atlamalarına yardımcı olur.”