Siber güvenlik uzmanları, sistem yöneticilerini silahlandırılmış macun indirmeleri yoluyla hedefleyen kötü amaçlı reklamlardan yararlanan sofistike bir kötü amaçlı yazılım kampanyası hakkında alarm veriyor.
Bu ortaya çıkan tehdit, saldırı vektörlerinde önemli bir değişimi temsil ediyor, kötü niyetli reklamlar artık kötü amaçlı yazılım enfeksiyonları için birincil dağıtım mekanizması olarak geleneksel kimlik avı yöntemlerini aşıyor.
Expelsecity tarafından ortaya çıkarılan mevcut kampanya, özellikle sistem yönetimi görevleri için gerekli olan SSH ve Telnet istemcisi olan macun arayan kullanıcıları hedeflemektedir.
.png
)
Expel’deki tehdit istihbarat analistlerine göre, saldırganlar stratejik olarak kötü amaçlı reklamları Bing arama sonuçlarının en üstüne konumlandırdı ve ziyaretçileri saldırgan kontrollü web sitelerine gizlice yönlendirirken meşru macun alanı gibi görünen şeyleri sergiledi.
Bu aldatıcı teknik, sistem yöneticilerinin tanıdık araçlara ve arama motoru sonuçlarına verdiği güvenden yararlanmaktadır.
Şüphesiz kullanıcılar bu hileli reklamlara tıkladıklarında, bilinmeden meşru görünen ancak tehlikeli yükler içeren uzlaşılmış yazılımı indirirler.
Sofistike saldırı zinciri fidye yazılımına yol açar
İndirildikten ve yürütüldükten sonra, kötü niyetli macun montajcısı, kötü şöhretli Rhyida fidye yazılımı grubuna yerleşik bağlantılara sahip bir uzaktan erişim aracı olan Oyster/Süpürge’yi dağıtır.
Bu çok aşamalı saldırı, sosyal mühendislik taktiklerini ileri teknik yeteneklerle birleştirerek siber suçlu operasyonların artan sofistike olduğunu göstermektedir.
Kötü amaçlı yazılım, kullanıcının AppData dizininden çalışan “Güvenlik Güncelleyici” adlı planlanmış bir görev oluşturarak enfekte sistemlerde kalıcılık oluşturur.
Bu adlandırma sözleşmesi, meşru sistem bakım süreçlerini akıllıca taklit ederek algılamayı hem kullanıcılar hem de güvenlik yazılımı için daha zor hale getirir.
Bu kampanyanın arkasındaki finansal kaynaklar siber suçların profesyonelleşmesini vurgulamaktadır.
Tehdit araştırmacıları, saldırganların son haftalarda meşru kod imzalama sertifikaları satın almak için birkaç bin dolar yatırım yaptığını ve kötü amaçlı yazılımlarına ek bir belirginlik katmanı eklediklerini bildiriyor.
“Galvin & Associates LLC”, “Shanxi Jiusheng Tongtai Trading Co., Ltd.,” ve “The Comb Reivers Limited” gibi kuruluşlardan elde edilen bu sertifikalar, kötü amaçlı yazılımların tipik olarak imzasız yürütülebilir ürünleri işaretleyen güvenlik kontrollerini atlamasına yardımcı olur.
Teknik Göstergeler
Expelity Güvenlik Güvenlik Göstergeleri Ağ savunucuları için.
Sahte macun montajcısı IOC’ler
- Sahte Putty MD5: F42dae36A47882391da920CE56F497B8, “Galvin & Associates LLC” tarafından imzalandı
- Kalıcılık: MD5: 18B77F4F10E0A17341FDFB2371E88FB2, “Shanxi Jiusheng Tongtai Trading Co., Ltd.”
- Kalıcılık: MD5: 90F0412FA7E5F3CD5F84CB80F951D539, “Comb Reivers Limited” tarafından imzalandı
- Alanlar: FMWYD[.]com, koy[.]mxcue[.]com, mvmmoving[.]com, macun[.]koşmak
Siber güvenlik uzmanları, reklam engelleyicilerin kötü niyetli reklamlara karşı ilk savunma hattı olarak uygulanmasını önerir.
Kuruluşlar ayrıca, özellikle kullanıcı dizinlerinden geçen planlanan görevlere ve süreçlere odaklanan şüpheli faaliyetleri hızlı bir şekilde tanımlamak ve bunlara yanıt vermek için algılama yeteneklerini geliştirmelidir.
Sistem yöneticileri, kurulumdan önce yalnızca resmi satıcı web sitelerinden yazılımı indirmeli ve dijital imzaları doğrulamalıdır.
Herhangi biriyle erken tehdit tespiti, yükseltme ve hafifletme güçlendirin. 50 deneme araması alın.