Siber güvenlik araştırmacıları, meşru yazılım projeleri olarak gizlenmiş GitHub depolarını kullanarak gelişmiş bir kötü amaçlı yazılım dağıtım kampanyası ortaya çıkardılar.
SmartLoader kötü amaçlı yazılımları, birden fazla depo boyunca stratejik olarak dağıtıldı ve kullanıcıların dünya çapında sistemlere sızmak için popüler kod paylaşım platformuna olan güveninden yararlandı.
Kötü niyetli kampanya, hileli depoları arama sonuçlarının başında konumlandırarak oyun hileleri, yazılım çatlakları ve otomasyon araçlarını arayan kullanıcıları hedefler.
.webp)
Bu depolar otantik görünür, profesyonel olarak hazırlanmış ReadMe dosyaları, proje belgeleri ve meşru açık kaynak projelerini yansıtan gerçekçi dosya yapıları ile birlikte görünür.
Bu operasyonun arkasındaki tehdit aktörleri, ayrıntılara dikkat çekti ve kötü amaçlı depolarını gerçek yazılım projelerinden neredeyse ayırt edilemez hale getirdi.
Uzaklıklandırılmış her depo, SmartLoader yükünü barındıran özenle oluşturulmuş sıkıştırılmış dosyalar içerir. Kullanıcılar bu dosyaları indirip yürüttüklerinde, bilmeden sistemlerine kalıcı erişim sağlayan çok aşamalı bir enfeksiyon süreci başlatırlar.
ASEC analistleri, bu yaygın dağıtım yöntemini, geliştirici ve oyun topluluklarının GitHub’a olan güvenini yazılım araçları için güvenilir bir kaynak olarak kullanması nedeniyle özellikle belirledi.
Teknik enfeksiyon mekanizması ve yük dağıtım
SmartLoader enfeksiyon süreci, kullanıcılar yürüttüğünde başlar. Launcher.cmd ilk saldırı vektörü olarak hizmet veren dosya.
Bu kötü niyetli toplu dosyalar, şaşkın bir lua komut dosyası yükler luajit.exekötü niyetli amaçlar için silahlandırılmış meşru bir LUA tercümanı.
.webp)
Kötü amaçlı yazılım paketi dört temel bileşenden oluşur: java.exe (meşru lua yükleyici), Launcher.cmd (kötü amaçlı toplu dosya), lua51.dll (Luajit çalışma zamanı tercümanı) ve module.class (gizlenmiş lua betiği).
Etkinleştirildikten sonra, SmartLoader temel dosyaları kopyalayarak kalıcılık oluşturur. %AppData%\ODE3 dizin ve kendisini Windows görev zamanlayıcısına “SecurityHealthService_ode3” olarak kaydediyor.
Kötü amaçlı yazılım hemen ekran görüntüleri ve sistem bilgileri yakalar ve bu verileri Base64 kodlu iletişim yoluyla komut ve kontrol sunucularına iletir.
Kötü amaçlı yazılımın en tehlikeli yeteneği, ek yükler için bir yükleyici rolünde yatmaktadır.
Analiz, SmartLoader’ın e -posta istemcileri, FTP uygulamaları ve çevrimiçi bankacılık hizmetlerinden hassas bilgileri hedefleyen Rhadamanthys Infostealer dahil ikincil kötü amaçlı yazılım indirdiğini ve yürüttüğünü ortaya koydu.
Kötü amaçlı yazılım, işlem enjeksiyonunu meşru pencerelerde gerçekleştirir. openwith.exe– dialer.exeVe dllhost.exe tespitten kaçınmak için.
C2 sunucuları ile iletişim, şifreli kanallar aracılığıyla gerçekleşir, kötü amaçlı yazılım, yapılandırma parametreleri ve görev listeleri içeren JSON biçimlendirilmiş komutlar alır.
Bu altyapı, tehdit aktörlerinin kötü amaçlı yazılım davranışını dinamik olarak güncellemelerine ve enfekte sistemin özelliklerine göre ek yükler dağıtmasına izin verir.
Bu kampanya, yazılım kaynaklarının doğrulanmasının ve depo güvenilirliğini, taahhüt tarihini ve yazar özgünlüğünü, özellikle oyun modifikasyonları veya yazılım çatlakları ile ilgili olanları indirmeden önce kritik önemi vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.