Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Tiyatro Oyuncusu Trojan’ı Bilgi Hırsızı Olarak Kullanıyor
Prajeet Nair (@prajeetspeaks) •
2 Aralık 2024
Bir tehdit aktörü, SmokeLoader kötü amaçlı yazılımını dağıtmak için kimlik avı e-postaları ve uzun süredir devam eden güvenlik açıklarını kullanarak Tayvanlı şirketleri hedef alıyor. Bu kampanya alışılmadık bir durum çünkü tehdit aktörü, diğer kötü amaçlı yazılımlar için bir yükleyici olarak SmokeLoader’ı adından da anlaşılacağı gibi kullanmak yerine, sistemlere doğrudan saldırmak için kötü şöhretli kötü amaçlı yazılıma yönelik eklentiler kullanıyor.
Ayrıca bakınız: Siber Kurtarma Başucu Kitabınızı Nasıl Oluşturabilirsiniz?
FortiGuard Labs Pazartesi günü yaptığı açıklamada, üretim, sağlık ve bilgi teknolojisi sektörlerindeki hedefleri SmokeLoader’ı indirmeye ikna etmek için yerel Çince ifadeler kullanan Eylül ayında aktif bir kampanya gözlemlediğini söyledi. Bir şirket sözcüsü Bilgi Güvenliği Medya Grubu’na, kampanyanın kaç kurbanı süpürdüğünün belirsiz olduğunu söyledi.
SmokeLoader, 2011’den beri bilinen, ek kötü amaçlı yazılım yüklemek için kullanılabilen ancak aynı zamanda bilgi sızdırmaya yönelik eklentilere de sahip olan büyük bir Truva atı ailesinin adıdır. Mitre, https://attack.mitre.org/software/S0226/” target=”_blank”>kötü amaçlı yazılımı “aldatma ve kendini koruma kullanımıyla ünlü” olarak nitelendirdi. Ukraynalı siber savunucular, SmokeLoader’ın mali açıdan kullanıldığını defalarca tespit etti. motive olmuş bilgisayar korsanları (bkz: Ukraynalı CERT, Smokeloader Kampanyası Yoğunlaşıyor).
Sözcü, “Bir makineye virüs bulaştığında, çalışanın oturum açma bilgileri sızdırılıyor. Saldırgan daha sonra şirket içi bilgilere erişebilir, saldırıyı kurbanla temas halinde olan kişilere yayabilir ve çalışanın hesabını kullanarak kötü amaçlı yazılım dağıtabilir” dedi.
SmokeLoader, eklentileri veya modülleri kullanarak çeşitli görevleri yerine getirebilen modüler bir kötü amaçlı yazılımdır. FortiGuard tarafından tespit edilen kampanya, fiyat teklifi olarak görünecek şekilde hazırlanmış kimlik avı e-postalarıyla başladı. FortiGuard, “Bu e-posta ikna edici olsa da, yerel kelimeler ve ifadeler kullandığından, bu kimlik avı e-postaları neredeyse aynı içeriğe sahip birden fazla alıcıya gönderiliyor.” dedi.
E-postaya eklenen kötü amaçlı Office belgesini indiren herkes, son yükü SmokeLoader ile AndeLoader’ı yükleyen bir VBS dosyası kullanarak ilk enfeksiyona yakalanır.
SmokeLoader çalışmaya başladıktan sonra bir eklenti paketi indirir ve uygulamaları, web tarayıcılarını, e-posta istemcilerini ve dosya aktarım araçlarını hedefler.
Tehdit aktörü, özellikle CVE 2017-0199 ve CVE 2017-11882 olmak üzere 2017’den beri geçerliliğini yitirmiş olması gereken güvenlik kusurlarından yararlanarak kötü amaçlı yazılımın ilk kötü amaçlı yazılım yükleyicisini otomatik olarak indirip çalıştırmasını sağlıyor.
Saldırı birden fazla gizleme katmanını içeriyor. SmokeLoader saldırısında kullanılan VBS dosyaları, kötü niyetli davranışlarını gizlemek için gereksiz kodlarla doludur. Tehdit aktörleri ayrıca verileri görüntü dosyalarına yerleştirmek için steganografik teknikleri de kullanıyor.
SmokeLoader’ın yürütme akışı, steganografik verilerin kodunun çözülmesini, enjektör bileşenlerinin çıkarılmasını ve eklentilerin sistem süreçlerine dağıtılması için bunlardan yararlanılmasını içerir. Bir eklenti modülü, Chrome, Firefox ve Edge gibi tarayıcılardan oturum açma kimlik bilgilerini, otomatik doldurma verilerini ve çerezleri çıkarır. Ayrıca Microsoft Outlook’ta ve FileZilla ve WinSCP gibi FTP istemcilerinde saklanan kimlik bilgilerini de toplar.
Bazıları 64 bit sistemler için uyarlanmış, diğerleri ise e-posta meta veri çıkarma ve tarayıcı eklemeye odaklanan ek eklentiler benzer görevleri yerine getirir.
SmokeLoader, explorer.exe gibi askıya alınmış işlemlere eklentiler eklemek, bunların hafızasını değiştirmek ve tespit edilmekten kaçınmak için yürütmeyi sürdürmek gibi gelişmiş kaçınma taktikleri kullanır. Eklentiler ayrıca kayıt defteri anahtarlarını değiştirerek kalıcılık sağlar ve sistem yeniden başlatıldıktan sonra bile etkinliklerinin devam etmesini sağlar.
Bir örnekte araştırmacılar, SmokeLoader’ın dokuz farklı eklenti indirdiğini, her birini uygun mimariye yerleştirdiğini ve kurbanların kimlik bilgilerini yeniden girmelerini sağlamak için tarayıcı çerezlerini temizlediğini gözlemledi.