Silahlı Notezilla, Son X ve Copywhiz Araçlarına Dikkat Edin


Hırsızlık Yapan Kötü Amaçlı Yazılımlar Sunan Silahlandırılmış Notezilla, RecentX ve Copywhiz Windows Araçlarına Dikkat Edin

Siber güvenlik firması Rapid7, popüler Windows araçları Notezilla, RecentX ve Copywhiz’in kötü amaçlı yazılım dağıtmak üzere silahlandırıldığını tespit etti.

Hindistan merkezli Conceptworld şirketi tarafından geliştirilen bu araçlar, verimliliğin artırılması amacıyla yaygın olarak kullanılıyor.

Ancak resmi Conceptworld web sitesinde bulunan kurulum paketlerinin, yasal yazılımların yanı sıra kötü amaçlı yazılım da çalıştırdığı ve kullanıcılar için önemli riskler oluşturduğu ortaya çıktı.

Keşif

Rapid7’nin araştırması, Notezilla, StylishX ve Copywhiz kurulum paketlerinin ele geçirildiğini ortaya çıkardı.

Kötü amaçlı yükleyiciler imzalanmamıştı ve dosya boyutları indirme sayfasındakilerle eşleşmedi.

Bu tutarsızlık, kurulum paketlerinin boyutunu artıran kötü amaçlı yazılımların ve bağımlılıklarının dahil edilmesinden kaynaklanıyordu.

Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan

Notezilla, LastX ve Copywhiz’in güvenliği ihlal edilmiş yükleyicileri aşağıdaki ayrıntılarla belirlendi:

  • NotezillaSetup.exe: 17.07 MB (Truvalaştırılmış), 15.19 MB (Meşru)
  • SonXSetup.exe: 15.79 MB (Truvalaştırılmış), 13.92 MB (Meşru)
  • CopywhizSetup.exe: 14.14 MB (Truvalaştırılmış), 12.27 MB (Meşru)

Bu yükleyicilere yerleştirilmiş kötü amaçlı yazılım, tarayıcı kimlik bilgilerini, kripto para birimi cüzdan bilgilerini, günlük panosu içeriklerini ve tuş vuruşlarını çalabilir ve ek yükler indirip çalıştırabilir.

Bir sistem bir kez enfekte olduğunda, kötü amaçlı yazılım, her üç saatte bir birincil yükü yürüten zamanlanmış bir görev yoluyla varlığını sürdürür.

Teknik Analiz

İlk Erişim ve Yürütme

Notezilla, RecentX ve Copywhiz’in truva atı haline getirilmiş yükleyicileri resmi Conceptworld web sitesinden sunuluyordu.

Bu araçları popüler arama motorları aracılığıyla arayan kullanıcılar büyük olasılıkla resmi alana yönlendirilmiş ve burada farkında olmadan kötü amaçlı yazılımı indirmişlerdir.

NotezillaSetup.exe'nin Yazılım Özellikleri
NotezillaSetup.exe’nin Yazılım Özellikleri

Örneğin, Notezilla’nın yükleyicisi Smart Install Maker (5.04) kullanılarak paketlendi.

Çalıştırıldıktan sonra birden fazla dosyayı kurulum dizinine bıraktı ve yasal bir yükleyici çalıştırdı, bu da enfeksiyon sürecini sorunsuz ve kullanıcı tarafından tespit edilemez hale getirdi.

Installer.config'in içeriği
Installer.config’in içeriği

Kötü Amaçlı Yazılım Yükleri

DllBus.bat'ın İlk Satırları
DllBus.bat’ın İlk Satırları

Birincil kötü amaçlı yazılım yükü olan dllCrt32.exe, dllCrt.bat adlı bir toplu iş dosyasını yürütmek için bir sarmalayıcı görevi gören küçük bir programdır.

DllChrome32.exe'nin Birincil İşlevselliği
dllChrome32.exe’nin Birincil İşlevselliği

Bu toplu iş dosyası, her üç saatte bir dllBus32.exe dosyasını çalıştıran Check dllHourly32 adlı gizli bir zamanlanmış görev oluşturur.

Bu gecikmeli yürütme yöntemi, birincil kötü amaçlı yazılım yükünün, ilk bulaşmadan en az üç saat sonrasına kadar yürütülmemesini sağlar.

Kötü amaçlı yazılım, komut ve kontrol (C2) sunucularına bağlanmak, ek yükler indirmek ve çalınan verileri yüklemek için curl.exe’yi kullanıyor.

Çalınan bilgiler arasında Google Chrome ve Mozilla Firefox’taki kimlik bilgileri ve birden fazla kripto para birimi cüzdanındaki veriler yer alıyor.

Kötü amaçlı yazılım özellikle aşağıdaki tarayıcıları ve kripto para cüzdanlarını hedef alıyor:

  • Tarayıcılar: Mozilla Firefox, Google Chrome
  • Kripto Cüzdanları: Atomic, Exodus, Jaxx Liberty, Guarda, Electrum, Coinomi

Kötü amaçlı yazılım ayrıca, sabit kodlanmış bir kara listedeki dizinler hariç olmak üzere, belirli uzantılara sahip dosyaları sıkıştırmaya ve dışarı çıkarmaya çalışır.

Etki Azaltma Kılavuzu

Rapid7 enfeksiyon riskini azaltmak için aşağıdaki adımları öneriyor:

  1. Dosya Bütünlüğünü Doğrulayın: İndirilen yazılımın dosya karma değerinin ve özelliklerinin resmi dağıtıcı tarafından sağlananlarla eşleştiğinden emin olun. Bu durumda kötü amaçlı yükleyiciler imzasızdı ve tutarsız dosya boyutlarına sahipti.
  2. Uzlaşma İşaretlerini Kontrol Edin: Notezilla, RecentX veya Copywhiz yakın zamanda yüklendiyse, dllHourly32 adlı gizli zamanlanmış görevi ve curl.exe aracılığıyla giden bağlantılar yapan cmd.exe’nin kalıcı örneklerini kontrol edin.
  3. Etkilenen Sistemlerin Yeniden Görüntüsü: Güvenliği ihlal ettiğine dair kanıt bulunursa, kötü amaçlı yazılımın yaptığı değişiklikleri ortadan kaldırmak için etkilenen sistemleri bilinen iyi bir temele göre yeniden görüntüleyin.

Notezilla, LateX ve Copywhiz gibi popüler üretkenlik araçlarının silah haline getirilmesi, yazılım indirmelerinde dikkatli olmanın önemini vurguluyor.

Kullanıcılar yazılım paketlerinin bütünlüğünü doğrulamalı ve tehlikeye ilişkin işaretlere karşı uyanık olmalıdır. Bu bulgular, siber suçluların güvenilir yazılımları kötü amaçlı amaçlar için kullanmak için kullandıkları gelişen taktiklerin kritik bir hatırlatıcısı olarak hizmet eder.

Stay in the loop with the latest in cybersecurity by following us on Linkedin and X for daily updates!



Source link