SmartLoader kötü amaçlı yazılım kullanıcıları enfekte etmek için meşru Github deposu olarak maskelenir

Ahnlab Güvenlik İstihbarat Merkezi (ASEC), meşru yazılım projelerini taklit etmek için tasarlanmış GitHub depoları aracılığıyla SmartLoader kötü amaçlı yazılımlarının büyük bir şekilde yayılmasını içeren sofistike bir kampanya ortaya çıkardı.

Bu depolar, oyun hileleri, yazılım çatlakları ve otomasyon araçları gibi popüler yasadışı içerik arayan kullanıcıları, Google ve GitHub gibi platformlarda “Game Hacks” veya “Yazılım Çatlak” gibi anahtar kelimeler kullanıldığında görüntülenmeyi hedefler.

Her depo, proje genel bakışları, özellik listeleri ve kurulum kılavuzları içeren cilalı bir ReadMe dosyasına sahiptir, bu da onları ilk bakışta gerçek açık kaynak girişimlerinden ayırt edilemez hale getirir.

Aldatıcı Github depoları

Kullanıcılar, genellikle Maple Story, Minecraft veya Call of Duty veya Instagram güçlendiricileri ve VPN çatlakları gibi yardımcı programlar için araçların kisvesi altında, kötü amaçlı yazılımları barındıran sıkıştırılmış dosyaları indirmeye çekilir.

Bu taktik, tehdit aktörlerinin bu aldatıcı depoları barındırmak için hesaplar oluşturduğu GitHub’ın ekosistemine olan güveni kullanıyor ve kötü niyetli yükleri Hxxps: // Github gibi URL’lerle sürümlere yerleştiriyor.[.]com/[Threat Actor Account]/Maple-tory-menu/releases/download/v3.2.0/maple.story.menu.v3.2.0.zip.

Sıkıştırılmış arşivler dört anahtar dosya içerir: meşru bir Lua yükleyici (java.exe, aslında luajit.exe), kötü amaçlı bir parti komut dosyası (Launcher.cmd), bir çalışma zamanı tercümanı (lua51.dll) ve şaşkın bir lua betiği (modül.class).

Launcher.cmd’nin yürütülmesi üzerine, komut dosyası luajit.exe üzerinden yüklenir, SmartLoader’ı etkinleştirir, bu da dosyaları %AppData %\ ode3 olarak kopyalayarak ve “SecurityHealthService_ode3” altındaki görevleri planlama sağlar.

Yük dağıtım

SmartLoader, enfekte olmuş sistemin ekran görüntülerini BMP dosyaları olarak yakalar ve kodlanmış sistem bilgilerini toplar ve bunları hxxp: //89.169.13 gibi adreslerde bir komut ve kontrol (C2) sunucusuna iletir[.]215/api/ytasodysoDISQSYTESODGSOTASOTUSNJUSN2QS.

Veri değişimleri, dinamik bellekten şifre çözülebilir, gizlenmiş LUA komut dosyasında gizlenmiş anahtarlarla baz64 kodlama ve bayt manipülasyonları kullanır.

C2, savunmaları atlamak veya kalıcılığı mümkün kılmak gibi davranışlar için “yükleyici” yapılandırmaları ve yüklemeleri almak ve yürütmek için yükleri listeleyen “görevler” dahil olmak üzere JSON formatında yanıt verir.

Analiz üç yük ortaya çıktı: modülü yansıtan, kalıcılığı “WindowserRecovery_ode4” olarak kaydeden ve hxxp: //95.164.53 adresinden başka bir C2 ile iletişim kuran ek bir şaşkın LUA betiği (Adobe.lua)[.]26/api/ytasodysodisowqsytesodgsotasotusnjusn2qs; ve sırasıyla 64 bit ve 32 bit ortamlarda çalışan Rhadamanthys infostealer olarak tanımlanan iki kabuk kodu varyantı (_x64.bin ve _x86.bin).

Rhadamanthys, openwith.exe, dialer.exe, dllhost.exe ve Rundll32.exe gibi meşru pencereler süreçlerine enjekte eder.

İşlem sonrası, görev kimlikleri ve kurban ülke kodları, hxxp: //89.169.13 gibi C2 uç noktalarına aktarılır[.]215/görevler/ytasodysoDISQSYTESODGSOTASOTUSNJUSN2QS.

SmartLoader’ın Rhadamanthys, Redline ve Lumma Stealer gibi infosterers için bir indirici rolü, kötü amaçlı yazılım ekosistemlerindeki çok yönlülüğünün altını çiziyor.

Riskleri azaltmak için, kullanıcılar yazılımı yalnızca resmi kanallardan tedarik ederken, yazar güvenilirliğini, tarihleri ve kaynak meşruiyetini inceleyerek depo özgünlüğünü doğrulamalıdır.

İyi belgelenmiş depolar bile kötü amaçlı olabilir, bu da sağlam uç nokta algılama ve yanıt araçlarına olan ihtiyacı vurgular.

Uzlaşma Göstergeleri (IOCS)

AWS Security Services: 10-Point Executive Checklist - Download for Free