Son zamanlarda, kötü amaçlı yazılım yüklü sahte tarayıcı güncellemelerinin tehdit ortamında hızla arttığı gözlemlendi.
Rapid7 araştırmacıları yakın zamanda, aşağıdaki bilgi hırsızlarını tehlikeye atılmış sistemlere dağıtmak için yeni bir yükleyici kullanarak kullanıcıları kötü amaçlı ikili dosyaları çalıştırmaya yönlendiren bir Sahte Tarayıcı Güncellemesi tuzağı tespit etti: –
Rapid7, başlangıçta SecTop RAT için 7-zip yükleyici olarak gizlenen IDAT yükleyiciyi Temmuz 2023’te keşfetti. Şimdi yukarıda belirtilen bilgi hırsızlarını aşağıdaki kaçınma yöntemlerini kullanarak dağıtıyor: –
- Süreç İkilisi
- DLL Arama Sırasının Ele Geçirilmesi
- Cennetin Kapısı
Ancak bunun yanı sıra IDAT yükleyicinin adı, yükün IDAT PNG dosyalarında ayrılmasından gelir. Bu teknikten önce, tehdit aktörleri C2 sunucularına bağlanmak veya Net Support RAT’ı dağıtmak için kötü amaçlı JavaScript dosyaları kullanıyordu.
Saldırı Akışı
Tehdit aktörleri, saldırı stratejilerinde tespitten kaçmaya ve güvenlik araştırmalarını engellemeye çalışır. Bunu yapmak için, işi daha karmaşık hale getirmek amacıyla her zaman farklı aşamalarda veya segmentlerde sahneye koyarlar.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Saldırı Aşamaları
Aşağıda tüm saldırı aşamalarından bahsettik: –
Aşama 1 – ClearFake: ClearFake, 19 Temmuz 2023’ten itibaren IDAT yükleyici dağıtımına bağlı, yakın zamanda keşfedilen bir kötü amaçlı yazılımdır. SocGolish’ten daha az karmaşıktır ve gizleme için base64’ü kullanır.
Özellikle, ziyaretleri IP veya çerezlere göre izlemez ve önbelleği temizlemeden aynı IP’den tekrarlanan erişime izin verir.
İstem, gerçek bir tarayıcı güncellemesi gibi görünüyor ve kullanıcıyı, daha önce SocGholish saldırılarında ve şimdi de Clearfake tarafından kullanılan ChromeSetup.exe adlı bir ikili dosyayı indirmeye yönlendiriyor.
Aşama 2 – MSI İndirici: ChromeSetup.exe, yasal dosyalar, kötü amaçlı bir DLL dosyası ve kötü amaçlı DLL tarafından şifresi çözülen şifrelenmiş bir günlük dosyası yazan bir MSI paketini indirir. Başka bir saldırı sürümü meşru dosyaları bırakır ve farklı bir şifrelenmiş günlük dosyası kullanır.
Aşama 3 – Şifre Çözücü: Meşru VMWareHostOpen.exe, kötü amaçlı vmtools.dll dosyasını aynı dizinden yüklemek için DLL Arama Sırası Ele Geçirme özelliğini kullanır. Bu DLL, XOR şifrelemesini kullanır, vmo.log’dan veri çıkarır ve LZNT1’i kullanarak sıkıştırmayı açar. Daha sonra mshtml.dll dosyasını yükler ve sıkıştırılmış kodu çalıştırır.
Aşama 4 – IDAT Enjektörü: IDAT yükleyici, kopyalanan dosyalar için klasörler oluşturmak üzere dinamik içe aktarmaları kullanır ve ortam değişkenlerini genişletir. Cennetin Kapısından kaçınma tekniğini kullanarak 32 bitlik bir işlemin 64 bitlik bir işlemde çalışmasına izin verir. Ayrıca ortam değişkenlerini ayarlar ve NtCreateSection + NtMapViewOfSection Code Injection’ı kullanarak kodu cmd.exe’ye enjekte eder.
Aşama 5 – IDAT Yükleyici: Enjekte edilen yükleyici kodu Heaven’s Gate’ten kaçınmayı kullanır, konfigürasyon verilerinin şifresini çözer, vmtools.dll’yi siler ve Process Doppelganging’i kullanarak bilgi hırsızını enjekte eder. Enjekte edilen veri Lumma Stealer olarak tanımlanıyor ve kötü amaçlı yazılım, NtDelayExecution ile yürütmeyi geciktiriyor.
IDAT Yükleyici, InfoStealer’ları ve RAT’ları yürütmek için tehdit aktörleri tarafından aktif olarak kullanılan en yeni ve en gelişmiş yükleyicilerden biridir.
Sahte Güncelleme kampanyasında VMWarehost, Python ve Windows Defender gibi meşru programlar tarafından yüklenen DLL’ler halinde paketlenir.
IOC’ler
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.