Silver Fox Hackers Windows kötü amaçlı yazılım sunmak için silahlı Google Çeviri Araçları’ndan istismar


Bilensec 404 Gelişmiş Tehdit İstihbarat Ekibi, son zamanlarda, karmaşık bir siber tehdit manzarasında kötü amaçlı yazılım yaymak için popüler programların sahte versiyonlarını silah olarak kullanan Silver Fox siber suçtan artan faaliyetleri keşfetti.

2024 yılına kadar uzanan bu saldırılar genellikle meşru Google çeviri arayüzleri olarak maskelenerek, kimlik avı sayfasındaki herhangi bir kullanıcı etkileşimini tetikleyen aldatıcı JavaScript kullanıyor.

Bu etkileşim, eski bir Adobe Flash Player sürümünü iddia eden ve kullanıcıları kötü amaçlı bir yükleyiciyi indirmeye zorlayan fabrikasyon bir uyarı sağlar.

Ortaya çıkan kimlik avı kampanyaları

Yürütme üzerine, yük, ana bilgisayar sistemine sızar, uzaktan kumanda ve veri ortadan kaldırma sağlar.

Silver Fox Hackers
Saldırı zinciri

Çetenin taktikleri, çeviri araçlarının ötesine uzanıyor, Arama Motoru Optimizasyonu (SEO) zehirlenmesi ve ulusal kurumları taklit eden sahtekarlık web sitelerini dahil ediyor ve böylece daha geniş Çin internet ekosistemini truva atlı indirmelerle kirletiyor.

Tipik bir saldırı zinciri, kurbanların zehirli arama sonuçları veya kimlik avı e -postaları yoluyla kurbanları cezbetmeyi ve ardından Silver Fox ailesinin çekirdek bir bileşeni olan Winos uzaktan erişim Truva (sıçan) yerleştiren kurulumcuların dağıtımını içerir.

2022’de ortaya çıkmasından bu yana, Silver Fox Grubu, tekil bir varlıktan Winos 4.0 gibi kaynak kodunun yeraltı sızıntısıyla beslenen üretken bir kötü amaçlı yazılım ailesine dönüştü.

Bu, siber suçluların ve gelişmiş Kalıcı Tehdit (APT) aktörlerinin çeşitli kampanyalar için kodu yeniden kullanmasına, e -postalar, anlık mesajlaşma ve fabrikasyon indirme portalları yoluyla dağıtmasına izin verdi.

Son keşifler, google çeviriyi taklit eden kimlik avı alanları, para birimi dönüştürücüler ve hatta gömülü komut dosyalarının MSI veya EXE yükleyicilerini barındıran saldırgan kontrollü sunuculara kesintisiz yeniden yönlendirmeyi kolaylaştırdığı resmi WPS ofis sitesi yer alıyor.

Silver Fox Hackers
Sahte Google Çeviri

Derinlemesine kötü amaçlı yazılım diseksiyonu

Silver Fox Trojan’ın teknik diseksiyonu çok aşamalı bir enfeksiyon sürecini ortaya çıkarır. Örneğin, MSI paketi, saldırgan tarafından belirlenen yükleri bir özellik tablosundan dinamik olarak yükleyen aiCustact.dll dahil bir dosya paketi yayınlar.

Eşzamanlı olarak, bir Update.bat komut dosyası, kötü amaçlı bileşenleri gizlice başlatırken meşru kurulum rutinlerini yürütür.

Kalıcılık, microsoftData.exe enjekte eden Javaw.exe aracılığıyla gerçekleştirilir ve resmi Microsoft isimlendirmesini otomatik başlatma için Windows kayıt defterine taklit eder.

Bu yürütülebilir uygulanabilir, gömülü bir XPS.dtd dosyasından Shellcode’u şifresini çözer ve yürütür, bu da “Rexrat4.0.3” gibi PDB dizelerini taşıyan bir Taşınabilir Yürütülebilir (PE) taşıyan, sonuçta Winos Rat’ı çağırır.

Winos, gerçek zamanlı ekran görüntüsü yakalama, tuş vuruşu günlüğü ve pano veri hasadı dahil olmak üzere gelişmiş casusluk için modüler eklentilere sahiptir ve saldırganlara tehlikeye atılan uç noktalar üzerinde ayrıntılı kontrol sağlar.

Avı genişleten araştırmacılar, sahte kolay çeviri, Youdao çevirisi, bit tarayıcısı ve letsvpn yükleyicileri, tüm huni kurbanlarını Winos dağıtımına yönlendiren ek tuzaklar belirlediler.

Bu modülerlik, Silver Fox’un uyarlanabilirliğinin altını çiziyor, failler kod gizleme, dövme dijital imzalar ve enfeksiyon oranlarını minimum maliyetle en üst düzeye çıkarmak için bulut sanal alanını atlatıyor.

Golden Eye Dog da dahil olmak üzere APT grupları, bu araçları hedeflenen müdahaleler için yeniden kullandılar, Çin dijital alanında kişisel gizlilik ve kurumsal veri bütünlüğüne yönelik riskleri artırdılar.

Silver Fox, günlük uygulamalarda kullanıcı güvenini aşındıran yaygın bir kötü amaçlı yazılım kümesini temsil eder. Azaltmak için kullanıcılar kaynakları titizlikle doğrulamalı, resmi indirmelere öncelik vermeli ve güncellenmiş güvenlik duruşlarını korumalıdır. Geliştirilmiş uyanıklık, bu yaygın tehditlere karşı koymak için çok önemlidir.

Uzlaşma Göstergeleri (IOC)

Tip IOC değeri
Hash (SHA-256) 38BDEF0BDF05ADEFB1D4BA04296C75B8CDFB9BE958E4C0D54764564DF177
Hash (SHA-256) B5e0893617a6a1b5e5f3c0c85fa82eaa9c6e66a511ca3974e35d6a466b52642a
Hash (SHA-256) CF17CE1D9A3F0151AFD129823303A949F6C7D71692DFF5F6C39BCEF03C8DADC
Hash (SHA-256) CDD221DFE3D856A18CD5AF30FD771DF4441C35383278A1559438C3E708CFD
Hash (SHA-256) 4D0CCEF5969D7733FC633570D80DFFF8AC2362789572C9DFF8A0320EEEED2B3284
Hash (SHA-256) 1ce6518a4f31b1d1b500df7966c0a2e93e7a4b728b402727071d7b2d5b2cf5b6
Hash (SHA-256) 42DD5C61C349047D0B217ECA6C1AAD9CD9E636FD3B034138A12596D0B03ECED
Hash (SHA-256) 61F860C3241F13C9E2A290C14A74AD9D0F018FE36F2ED9E26097B7C12ECB393
Hash (SHA-256) 0d171b33d1a22b2e1e2fb1638295c40f67c4ac40d771e732de2c0e01fd6cd79e
Kimlik avı web sitesi 192.252.181.55
Kimlik avı web sitesi www.ggfanyi.com
Kimlik avı web sitesi 185.202.101.114
C2 Sunucusu 8.218.115.90:8080
C2 Sunucusu 8.218.115.90:8081
C2 Sunucusu 154.91.66.58:8088
C2 Sunucusu 154.91.66.58:8089
C2 Sunucusu 103.116.246.234:6234
C2 Sunucusu 43.250.174.49:1989
C2 Sunucusu 154.222.24.214:886
C2 Sunucusu 154.222.24.214:668
C2 Sunucusu 206.119.167.191:8003
C2 Sunucusu 206.119.167.191:8004
C2 Sunucusu 1.94.163.46:666
C2 Sunucusu 203.160.55.201:1860
C2 Sunucusu 154.94.232.242:8888
C2 Sunucusu 154.94.232.242:6666

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link