Ağustos 2024’te araştırmacılar, MSI uygulama paketleme dosyası içeren bir ZIP arşivinin sürücü yoluyla indirilmesini kullanan ve çalıştırıldığında kötü amaçlı yazılımı kurbanın sistemine yükleyen LummaC2 çalma yazılımının dağıtımına yol açan kötü amaçlı bir Google Chrome tarayıcı enfeksiyonu tespit ettiler.
Bir MSI dosyası, RAR arşivinden kötü amaçlı bir DLL’i çıkarmak için gereken parolayı elde etmek amacıyla uzak bir sunucuyla iletişim kurar ve arşivi şifresini çözmek için şifreleme araçlarıyla ilişkili meşru bir yürütülebilir dosya kullanır.
“TroxApp” klasöründe bulunan kötü amaçlı yürütülebilir dosya, zararlı “rnp.dll” yükünü yüklemek için DLL yan yüklemesini kullanıyor ve Windows işletim sisteminin belirli dizinlerde DLL dosyalarını arama davranışını istismar ederek, kötü amaçlı yürütülebilir dosyanın kötü amaçlı kod yürütmesine olanak sağlıyor.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Kötü amaçlı DLL, LummaC2 hırsızını indiren ve ardından iki kökteki C2 sunucusundan bir sonraki aşama yükü olan “02074.bs64″ü almak için bir PowerShell komutu yürüten bir yükleyici işlemini tetikledi.[.]com/02074.bs64 adresine gidin ve iki tur XOR işlemi kullanarak şifresini çözün.
Kötü amaçlı bir Chrome eklentisi olan “Google Drive’a Kaydet”, LummaC2 adlı kötü amaçlı yazılımı yüklüyor ve Facebook, Coinbase ve Google Pay hesaplarına ait finansal işlemleri gerçekleştirebiliyor.
Hesap bakiyelerini belirleyip alabilir, adresler oluşturabilir ve işlem ayrıntılarını içeren JSON verilerini göndererek kripto para çekimlerini başlatabilir.
Eklenti, donanım ve sistem verilerini, tarayıcı bilgilerini ve çerezleri toplar, benzersiz bir cihaz tanımlayıcısı oluşturur ve tüm bu bilgileri uzak bir sunucuya gönderir.
Kötü amaçlı bir tarayıcı eklentisi, C2 sunucularından gelen URL’leri içeren görünmez açılır pencereleri açmak için kod enjekte ediyor.
Komut dosyası, ödemeler, oturum açmalar ve reklam yönetimiyle ilgili içerikler için bu açılır pencereleri izliyor ve potansiyel olarak kullanıcı girdisini çalıyor veya görüntülenen içeriği değiştiriyor.
Yapılandırmalara göre web içeriğini enjekte ederek ve manipüle ederek e-posta platformlarını (Outlook, Gmail, Yahoo Mail) hedef alıyor ve bu da e-posta içeriklerini değiştirme potansiyeline sahip olması nedeniyle 2FA doğrulama kodları gibi hassas verilerin çalınması konusunda endişelere yol açıyor.
“proxy.js” dosyasındaki “makeScreenShot” fonksiyonu, saldırıya uğramış bir Chrome tarayıcısındaki etkin sekmenin ekran görüntüsünü yakalar, bunu base64 dizesi olarak kodlar ve bir komut ve kontrol sunucusuna gönderir; bu da saldırganların kurbanın tarama etkinliğini izlemesine ve potansiyel olarak hassas bilgileri çalmasına olanak tanır.
eSentire’a göre kötü niyetli kişiler, Bitcoin adreslerini blockchain ve mempool URL’lerinden çıkarmak ve daha sonra bunları Base58 kullanarak çözerek hassas bilgileri çalmak için birlikte çalışan bir LummaC2 çalıcı ve bir Chrome eklentisi dağıtmak için bir DLL yan yükleme tekniği kullandılar.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndir