Son raporlar, tehdit aktörlerinin Komut Dosyası çocuklarını veya amatör bilgisayar korsanlarını asla amaçlamadıkları kötü niyetli eylemler gerçekleştirmeleri için manipüle ettiğini gösteriyor. Bu, web uygulaması test uzmanları ve güvenlik uzmanları tarafından kullanılan OpenBullet aracıyla yapılır.
OpenBullet, bir yapılandırma dosyası yardımıyla basit tekrarlayan görevlerin yanı sıra karmaşık saldırıları gerçekleştirmek için kullanılabilen açık kaynaklı bir güvenlik test aracıdır.
Bu yapılandırma dosyaları, bilgili bilgisayar korsanları tarafından tasarlanır ve takas edilir, paylaşılır ve hatta siber suçlulara satılır.
Ancak bu yapılandırma dosyaları tek satır olabileceği gibi yüzlerce satır kod da olabilir. Son derece karmaşık kodlar, başlangıç düzeyindeki bilgisayar korsanlarının okuması ve anlaması zordur.
Böyle bir yapılandırma dosyası, kimlik bilgileri doldurma ve hesap ele geçirme saldırıları için kötü niyetli olarak kodlanmış gibi görünen bir Telegram kanalında bulundu.
Konfigürasyon dosyası daha detaylı analiz edildiğinde, kodun Google’ın reCAPTCHA’sını atlayacak şekilde tasarlandığı ve içinde bir COOKIE değişkeni ile birlikte birden çok işleve sahip olduğu ortaya çıktı.
Yapılandırma dosyasının CAPTCHA’yı atlamaktan daha fazlasını yaptığı bulundu.
Yapılandırma dosyasına yazılan işlev, GetChromeUpdates adlı bir havuzdan oluşan bir GitHub URL’sine yönlendiren bir Pastebin URL’si oluşturan COOKIE değişkenini birleştirir.
OpenBullet, bir chromedriver.exe dosyasında bulunan bu havuzda barındırılan ikili dosyayı alır.
Bu chromedriver.exe dosyası, OpenBullet’te kullanılan SeleniumWebDriver’ın yerine geçer. Tamamlandıktan sonra OpenBullet, Ocean ve Patent ile aynı GitHub deposundan iki veri indiren yeni bir oturum oluşturur.
Ocean indirilen komut dosyasıdır, Patent ise derleme sırasında herhangi bir karartma içermeyen ve Python sürüm 3.11’de yazılmış Python tabanlı bir yürütülebilir dosyadır.
Ayrıca betikler, Python’da yazılmış kötü amaçlı yazılımı içeren Telegram-RAT adlı depodan kötü amaçlı yazılım indirir. Komuta ve kontrol sunucusu ile telebot kullanarak haberleşir.
Tehdit aktörleri tarafından kullanılan yöntemler, mekanizmalar ve kodlar hakkında eksiksiz bilgi sağlayan Kasada Tehdit İstihbaratı ekibi tarafından eksiksiz bir rapor yayınlandı.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.