ZPHP veya HANEY MANEY olarak da bilinen SmartApeSG kampanyası, kötü amaçlı uzaktan erişim araçlarıyla Windows sistemlerini tehlikeye atacak saldırı yöntemlerini geliştirmeye devam ediyor.
İlk olarak Haziran 2024’te bildirilen bu kampanya, sahte tarayıcı güncelleme sayfaları kullanmaktan, gelişmiş ClickFix tarzı teknikler kullanmaya doğru kaydı.
Yeni yaklaşım, kullanıcıları sahte bir CAPTCHA sayfası aracılığıyla kimliklerini doğrulamaları gerektiğini düşünmeye sevk ederek saldırıyı daha aldatıcı ve tespit edilmesini zorlaştırıyor.
Kampanya öncelikli olarak gizli kötü amaçlı komut dosyalarının görüntülendiği, güvenliği ihlal edilmiş web sitelerini ziyaret eden kullanıcıları hedefliyor. Belirli koşullar karşılandığında bu scriptler devreye giriyor ve kullanıcılara sahte bir “insan olduğunuzu doğrulayın” kutusu sunuyor.
.png)
Saldırganlar bu akıllı tekniği, kullanıcı şüphesini atlatmak ve kötü amaçlı yazılım kurulumuna yol açacak eylemleri gerçekleştirmeleri için kullanıcıları kandırmak için kullanıyor.
Sahte CAPTCHA sayfası etkinleştirildiğinde kurbanın bilgisayarına NetSupport RAT yüklemek için tasarlanmış bir olaylar zincirini başlatır.
.png)
Bu uzaktan erişim aracı, saldırganlara virüslü makineler üzerinde tam kontrol sağlayarak verileri çalmalarına, etkinlikleri izlemelerine ve ek kötü amaçlı yazılım dağıtmalarına olanak tanır.
Internet Storm Center güvenlik analistleri, saldırının, doğrulama kutusunu tıklayan kullanıcının panosuna doğrudan kötü amaçlı içerik enjekte ederek çalıştığını belirledi.
Enjekte edilen içerik, saldırgan tarafından kontrol edilen sunuculardan kötü amaçlı kod almak ve yürütmek için mshta komutunu kullanan bir komut dizesidir.
Çok aşamalı yaklaşım
Bu teknik özellikle etkilidir çünkü yazılımdaki güvenlik açıklarından ziyade sosyal mühendisliğe dayanarak geleneksel güvenlik önlemlerini atlar.
Kalıcılık mekanizması akıllı bir Windows numarasıyla çalışır. Kötü amaçlı NetSupport RAT paketi, AppData\Local\Temp dizininde depolanan bir JavaScript dosyasını çalıştıran bir Başlat Menüsü kısayolu oluşturarak virüslü bilgisayarlarda kendini korur.
Bu JavaScript dosyası daha sonra C:\ProgramData\ dizininde bulunan gerçek NetSupport RAT çalıştırılabilir dosyasını başlatır. Bu çok aşamalı yaklaşım, tipik kullanıcılar için algılamayı ve kaldırmayı daha zorlu hale getirir.
SmartApeSG’yi özellikle tehlikeli kılan şey, altyapısının sürekli gelişmesidir. Etki alanları, komut ve kontrol sunucuları ve kötü amaçlı yazılım paketleri neredeyse her gün değişiyor, bu da tehdit istihbaratı güncellemelerini güvenlik ekipleri için kritik hale getiriyor.
Kuruluşlar, kullanıcıları web sitelerindeki doğrulama kutularını tıklama konusunda eğitmeli ve bu kampanyayla ilişkili olduğu bilinen kötü amaçlı alan adlarına yapılan bağlantıları engellemek için ağ düzeyinde korumalar uygulamalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
