Bilensec 404 Gelişmiş Tehdit İstihbarat Ekibi, son zamanlarda, karmaşık bir siber tehdit manzarasında kötü amaçlı yazılım yaymak için popüler programların sahte versiyonlarını silah olarak kullanan Silver Fox siber suçtan artan faaliyetleri keşfetti.
2024 yılına kadar uzanan bu saldırılar genellikle meşru Google çeviri arayüzleri olarak maskelenerek, kimlik avı sayfasındaki herhangi bir kullanıcı etkileşimini tetikleyen aldatıcı JavaScript kullanıyor.
Bu etkileşim, eski bir Adobe Flash Player sürümünü iddia eden ve kullanıcıları kötü amaçlı bir yükleyiciyi indirmeye zorlayan fabrikasyon bir uyarı sağlar.
Ortaya çıkan kimlik avı kampanyaları
Yürütme üzerine, yük, ana bilgisayar sistemine sızar, uzaktan kumanda ve veri ortadan kaldırma sağlar.
Çetenin taktikleri, çeviri araçlarının ötesine uzanıyor, Arama Motoru Optimizasyonu (SEO) zehirlenmesi ve ulusal kurumları taklit eden sahtekarlık web sitelerini dahil ediyor ve böylece daha geniş Çin internet ekosistemini truva atlı indirmelerle kirletiyor.
Tipik bir saldırı zinciri, kurbanların zehirli arama sonuçları veya kimlik avı e -postaları yoluyla kurbanları cezbetmeyi ve ardından Silver Fox ailesinin çekirdek bir bileşeni olan Winos uzaktan erişim Truva (sıçan) yerleştiren kurulumcuların dağıtımını içerir.
2022’de ortaya çıkmasından bu yana, Silver Fox Grubu, tekil bir varlıktan Winos 4.0 gibi kaynak kodunun yeraltı sızıntısıyla beslenen üretken bir kötü amaçlı yazılım ailesine dönüştü.
Bu, siber suçluların ve gelişmiş Kalıcı Tehdit (APT) aktörlerinin çeşitli kampanyalar için kodu yeniden kullanmasına, e -postalar, anlık mesajlaşma ve fabrikasyon indirme portalları yoluyla dağıtmasına izin verdi.
Son keşifler, google çeviriyi taklit eden kimlik avı alanları, para birimi dönüştürücüler ve hatta gömülü komut dosyalarının MSI veya EXE yükleyicilerini barındıran saldırgan kontrollü sunuculara kesintisiz yeniden yönlendirmeyi kolaylaştırdığı resmi WPS ofis sitesi yer alıyor.
Derinlemesine kötü amaçlı yazılım diseksiyonu
Silver Fox Trojan’ın teknik diseksiyonu çok aşamalı bir enfeksiyon sürecini ortaya çıkarır. Örneğin, MSI paketi, saldırgan tarafından belirlenen yükleri bir özellik tablosundan dinamik olarak yükleyen aiCustact.dll dahil bir dosya paketi yayınlar.
Eşzamanlı olarak, bir Update.bat komut dosyası, kötü amaçlı bileşenleri gizlice başlatırken meşru kurulum rutinlerini yürütür.
Kalıcılık, microsoftData.exe enjekte eden Javaw.exe aracılığıyla gerçekleştirilir ve resmi Microsoft isimlendirmesini otomatik başlatma için Windows kayıt defterine taklit eder.
Bu yürütülebilir uygulanabilir, gömülü bir XPS.dtd dosyasından Shellcode’u şifresini çözer ve yürütür, bu da “Rexrat4.0.3” gibi PDB dizelerini taşıyan bir Taşınabilir Yürütülebilir (PE) taşıyan, sonuçta Winos Rat’ı çağırır.
Winos, gerçek zamanlı ekran görüntüsü yakalama, tuş vuruşu günlüğü ve pano veri hasadı dahil olmak üzere gelişmiş casusluk için modüler eklentilere sahiptir ve saldırganlara tehlikeye atılan uç noktalar üzerinde ayrıntılı kontrol sağlar.
Avı genişleten araştırmacılar, sahte kolay çeviri, Youdao çevirisi, bit tarayıcısı ve letsvpn yükleyicileri, tüm huni kurbanlarını Winos dağıtımına yönlendiren ek tuzaklar belirlediler.
Bu modülerlik, Silver Fox’un uyarlanabilirliğinin altını çiziyor, failler kod gizleme, dövme dijital imzalar ve enfeksiyon oranlarını minimum maliyetle en üst düzeye çıkarmak için bulut sanal alanını atlatıyor.
Golden Eye Dog da dahil olmak üzere APT grupları, bu araçları hedeflenen müdahaleler için yeniden kullandılar, Çin dijital alanında kişisel gizlilik ve kurumsal veri bütünlüğüne yönelik riskleri artırdılar.
Silver Fox, günlük uygulamalarda kullanıcı güvenini aşındıran yaygın bir kötü amaçlı yazılım kümesini temsil eder. Azaltmak için kullanıcılar kaynakları titizlikle doğrulamalı, resmi indirmelere öncelik vermeli ve güncellenmiş güvenlik duruşlarını korumalıdır. Geliştirilmiş uyanıklık, bu yaygın tehditlere karşı koymak için çok önemlidir.
Uzlaşma Göstergeleri (IOC)
| Tip | IOC değeri |
|---|---|
| Hash (SHA-256) | 38BDEF0BDF05ADEFB1D4BA04296C75B8CDFB9BE958E4C0D54764564DF177 |
| Hash (SHA-256) | B5e0893617a6a1b5e5f3c0c85fa82eaa9c6e66a511ca3974e35d6a466b52642a |
| Hash (SHA-256) | CF17CE1D9A3F0151AFD129823303A949F6C7D71692DFF5F6C39BCEF03C8DADC |
| Hash (SHA-256) | CDD221DFE3D856A18CD5AF30FD771DF4441C35383278A1559438C3E708CFD |
| Hash (SHA-256) | 4D0CCEF5969D7733FC633570D80DFFF8AC2362789572C9DFF8A0320EEEED2B3284 |
| Hash (SHA-256) | 1ce6518a4f31b1d1b500df7966c0a2e93e7a4b728b402727071d7b2d5b2cf5b6 |
| Hash (SHA-256) | 42DD5C61C349047D0B217ECA6C1AAD9CD9E636FD3B034138A12596D0B03ECED |
| Hash (SHA-256) | 61F860C3241F13C9E2A290C14A74AD9D0F018FE36F2ED9E26097B7C12ECB393 |
| Hash (SHA-256) | 0d171b33d1a22b2e1e2fb1638295c40f67c4ac40d771e732de2c0e01fd6cd79e |
| Kimlik avı web sitesi | 192.252.181.55 |
| Kimlik avı web sitesi | www.ggfanyi.com |
| Kimlik avı web sitesi | 185.202.101.114 |
| C2 Sunucusu | 8.218.115.90:8080 |
| C2 Sunucusu | 8.218.115.90:8081 |
| C2 Sunucusu | 154.91.66.58:8088 |
| C2 Sunucusu | 154.91.66.58:8089 |
| C2 Sunucusu | 103.116.246.234:6234 |
| C2 Sunucusu | 43.250.174.49:1989 |
| C2 Sunucusu | 154.222.24.214:886 |
| C2 Sunucusu | 154.222.24.214:668 |
| C2 Sunucusu | 206.119.167.191:8003 |
| C2 Sunucusu | 206.119.167.191:8004 |
| C2 Sunucusu | 1.94.163.46:666 |
| C2 Sunucusu | 203.160.55.201:1860 |
| C2 Sunucusu | 154.94.232.242:8888 |
| C2 Sunucusu | 154.94.232.242:6666 |
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!