Saldırı metodolojisinin bir parçası olarak Cloudflare’nin Turnstile Challenge sisteminden yararlanan sectoprat olarak adlandırılan gelişmiş yeni bir kötü amaçlı yazılım suşu ortaya çıktı.
Bu uzaktan erişim Truva atı, görünüşte meşru Captcha doğrulama istemleriyle başlayan çok aşamalı bir enfeksiyon süreci aracılığıyla Windows kullanıcılarını özellikle hedefler.
Kötü amaçlı yazılım, kullanıcıların sosyal mühendislik taktiklerinde evrimi temsil eden kötü niyetli yükünü sunmak için Cloudflare’nin güvenlik mekanizmalarına verdikleri güvenden yararlanmaktadır.
Saldırı genellikle kullanıcılar, standart bir Cloudflare Turnstile Challenge gibi görünen şeyleri sunan tehlikeye atılmış web sitelerini ziyaret ettiğinde başlar.
İnsan kullanıcılarını doğrulamak için tasarlanmış meşru zorlukların aksine, bu silahlı örnekler Sectoprat kötü amaçlı yazılım için bir dağıtım mekanizması görevi görür.
Bir kullanıcı meydan okumayı tamamladığında, kötü amaçlı yazılım, kurbana normal bir web sitesi deneyimi görüntülerken gizli bir indirme işlemi başlatır.
Birden fazla güvenlik araştırma firmasından gelen inde analistler, kurumsal ağlardaki enfeksiyonlarda önemli bir artış gözlemledikten sonra bu tehdidi belirlediler.
Analizleri, Sectoprat’ın sofistike gizleme teknikleri ve saldırganların hedef ortamına göre farklı işlevsellik dağıtmasına izin veren modüler bir mimari kullandığını ortaya koydu.
Araştırmacılar, enfekte edilmiş makineler ile daha önce bilinmeyen komuta ve kontrol sunucuları arasında olağandışı trafik modellerini, öncelikle Doğu Avrupa’da bulunan not ettiler.
Sectoprat’ı özellikle ilgili kılan şey, geleneksel güvenlik çözümlerinden kaçarken sürekli erişim sağlama yeteneğidir.
Kötü amaçlı yazılım, Windows kayıt defterinde ve planlanan görevlerde birden fazla gereksiz kalıcılık mekanizması oluşturur ve bir yöntem keşfedilse ve kaldırılsa bile erişimi sürdürmesini sağlar.
Güvenlik ekipleri, kötü amaçlı yazılım anti-analiz yeteneklerinin tespiti özellikle zorlaştırdığını bildiriyor.
Enfeksiyon mekanizması
Enfeksiyon işlemi, sahte turnike zorluklarına gömülü JavaScript tabanlı bir yükleyici ile başlar.
Bir kullanıcı meydan okuma ile etkileşime girdiğinde, yükleyici, ağ algılama sistemlerinden kaçınmak için şifreli iletişim kanallarını kullanarak komut ve kontrol sunucularından ikinci aşamalı bir yük indirmeden önce çevre kontrollerini yürütür.
İkinci aşamalı yük, kalıcılık oluşturmak için PowerShell komutları kullanır:-
$startup = "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup"
Copy-Item "$env:TEMP\loader.js" -Destination "$startup\SystemHealth.js"
New-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "SystemHealth" -Value "wscript.exe $startup\SystemHealth.js"Bu, kötü amaçlı yazılımın sistemle yeniden başlamasını sağlayan birden fazla kalıcılık noktası oluşturur.
Son aşama, saldırgan sunucularıyla bir bağlantı kuran ve kullanıcı etkinliğini izlemeye, tuş vuruşlarını yakalamaya ve depolanan kimlik bilgileri, finansal bilgiler ve kripto para cüzdan dosyaları da dahil olmak üzere değerli verileri yaymaya başlayan tam Sectoprat yükünü sunar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free