Eclipse Foundation ile ilişkili meşru bir uygulamadan yararlanarak DLL yan yükleme tekniği kullanılarak Xloader kötü amaçlı yazılımlarını dağıtan bir kötü amaçlı yazılım kampanyası gözlemlenmiştir.
Ahnlab Güvenlik İstihbarat Merkezi (ASEC), “Saldırıda kullanılan meşru uygulama Jarsigner, Eclipse Vakfı tarafından dağıtılan IDE paketinin kurulumu sırasında oluşturulan bir dosyadır.” Dedi. “Jar (Java Arşivi) dosyalarını imzalamak için bir araçtır.”
Güney Koreli siber güvenlik firması, kötü amaçlı yazılımın meşru yürütülebilir dosyayı ve kötü amaçlı yazılımları başlatmak için yan yüklenen DLL’leri içeren sıkıştırılmış bir fermuar arşivi şeklinde yayıldığını söyledi –
Belgeler2012.exe, meşru jarsigner.exe ikili jli.dll’nin yeniden adlandırılmış bir sürümü, tehdit oyuncusu tarafından boncript140e.dll conct140e.dll, xloader yükünü şifresini çözmek ve enjekte etmek için değiştirilen bir DLL dosyası
“Documents2012.exe” çalıştırıldığında saldırı zinciri kötü niyetli aşamaya geçer ve Xloader kötü amaçlı yazılımları yüklemek için kurcalanmış “jli.dll” kütüphanesinin yürütülmesini tetikler.
ASEC, “Dağıtılmış beton140e.dll dosyası, saldırı işlemi sırasında şifre çözülen ve yürütme için meşru ASPNET_WP.EXE enjekte edilen şifreli bir yüktür.” Dedi.
“Enjekte edilen kötü amaçlı yazılım, Xloader, kullanıcının PC ve tarayıcı bilgileri gibi hassas bilgileri çalıyor ve ek kötü amaçlı yazılım indirme gibi çeşitli etkinlikler gerçekleştiriyor.”
Formbook kötü amaçlı yazılımın halefi olan Xloader ilk olarak 2020’de Wild’da tespit edildi. Hizmet olarak kötü amaçlı yazılım (MAAS) modeli altında diğer suçlu aktörlere satışa sunulabilir. Ağustos 2023’te Information Stealer ve KeyLogger’ın macOS sürümü Microsoft Office taklit edildiği keşfedildi.
Zscaler Tehditlabz, bu ay yayınlanan iki bölümlü bir raporda, “Xloader sürümleri 6 ve 7, imza tabanlı tespiti yenmek ve ters mühendislik çabalarını karmaşıklaştırmak için kritik kodu ve bilgileri korumayı amaçlayan ek gizleme ve şifreleme katmanlarını içeriyor.” Dedi.
“Xloader, daha önce Smokeloader’da, çalışma zamanında kod parçalarını şifrelemek ve NTDLL Hook Kaçma da dahil olmak üzere, daha önce gözlemlenen teknikleri tanıttı.”
Kötü amaçlı yazılımların daha fazla analizi, gerçek komut ve kontrol (C2) ağ iletişimini meşru web sitelerine trafikle harmanlamak için sert kodlanmış tuzak listeleri kullanımını ortaya çıkarmıştır. Hem tuzaklar hem de gerçek C2 sunucuları farklı anahtarlar ve algoritmalar kullanılarak şifrelenir.
Pushdo gibi kötü amaçlı yazılım aileleri durumunda olduğu gibi, tuzakları kullanmanın arkasındaki niyet, gerçek C2 trafiğini gizlemek için meşru alanlara ağ trafiği oluşturmaktır.
DLL yan yükleme, Smartapesg (diğer adıyla ZPHP veya Haneymaney) tehdit oyuncusu tarafından JavaScript web enjektileri ile tehlikeye atılan meşru web siteleri aracılığıyla Netsupport faresi sunmak için kötüye kullanıldı.
Geliştirme, Nodeloader ve Riseloader adlı çok çeşitli bilgi samançılarını, kripto para madencilerini ve viDar, Lumma, Phemedrone, XMRIG ve SOCKS5Systemz gibi botnet kötü amaçlı yazılımlarını dağıtmak için kullanılan Nodeloader ve Riseloader adlı iki diğer kötü amaçlı yazılım yükleyicisi olarak gelir.
“Riseloader ve Risepro, ağ iletişim protokollerinde mesaj yapısı, başlatma işlemi ve yük yapısı dahil olmak üzere çeşitli benzerlikleri paylaşıyor.” Diyerek şöyle devam etti: “Bu örtüşmeler aynı tehdit oyuncunun her iki kötü amaçlı yazılım ailesinin arkasında olduğunu gösterebilir.”