SmokeLoader Kötü Amaçlı Yazılımı, XLS ve DOC Açıklarından Yararlanarak Windows Kullanıcılarına Saldırıyor

Kötü şöhretli SmokeLoader kötü amaçlı yazılımının Tayvan’daki imalat, sağlık, bilgi teknolojisi ve diğer sektörler de dahil olmak üzere firmaları hedef aldığı belirlendi.

SmokeLoader uyarlanabilirliği ve gelişmiş kaçınma stratejileriyle tanınır ve modüler yapısı sayesinde çok çeşitli saldırıları gerçekleştirebilir.

Bu durumda SmokeLoader, popüler tarayıcılardan çerezleri, otomatik doldurma bilgilerini, e-posta adreslerini ve oturum açma kimlik bilgilerini alan eklentileri C2 sunucusundan indirerek doğrudan saldırıyı gerçekleştiriyor.

FortiGuard Labs’ın araştırması, saldırıların, belge (CVE 2017-11882) ve XLS (CVE 2017-0199) güvenlik açıklarından yararlanmayı amaçlayan kötü amaçlı ekler içeren kimlik avı e-postalarından kaynaklandığını gösteriyor.

API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt

Kimlik Avı Kampanyasına Genel Bakış

Bu kampanyada, gönderenin bir dizi özel talimat içerdiği ve ekteki kötü amaçlı dosyanın bir alıntı olduğunu söylediği bir kimlik avı e-postası kullanıldı.

Yerel kelimelerin ve ifadelerin kullanılması bu e-postayı çekici kılsa da, kimlik avı e-postaları neredeyse aynı içeriğe sahip birden fazla alıcıya dağıtılır.

Farklı şirketlere iletildiğinde alıcının adı bile (dosya adındaki redaksiyon) değiştirilmez.

Ayrıca telefon numarası ve e-posta imzasının metinden farklı bir yazı tipi ve renge sahip olması metnin kopyalanmış olma ihtimalini artırıyor.

Üçüncü aşamada, bir VBS dosyası, kötü amaçlı yazılım yükleyicisi AndeLoader’ı başlatır ve aynı SmokeLoader dosyası, son yük olarak hizmet eder.

CVE-2017-0199 olarak tanımlanan bir Microsoft Office güvenlik açığı, OLE2 gömülü bağlantı nesnesini kullanıyor.

Kurban hazırlanmış dosyayı açtığında kötü amaçlı bir belge indirilir ve yürütülür. Zararlı bağlantı bir sayfada gizlenir ve kimlik avı e-postasına eklenen dosya korunur.

Microsoft Office’teki denklem düzenleyicisinde, CVE 2017-11882 olarak tanımlanan bir RCE (Uzaktan Kod Yürütme) güvenlik açığı bulunmaktadır. Kabuk kodunda hem şifrelenmiş veriler hem de şifre çözme algoritması mevcuttur.

Şifre çözmenin ardından kabuk kodu gerekli API’leri alır ve bir sonraki adım için VBS dosyasını indirmek üzere URLDownloadToFile yöntemini kullanır.

HTA dosyası, URL kodlaması kullanılarak birkaç kez kodlanmış VBS kodunu içerir. Kod çözmenin ardından, semboller ve değişkenler arasında birkaç boşluk bulunan bir VBS betiği keşfedilir.

VBS betiği, AndeLoader’ın VBS dosyasını indiren bir PowerShell pasajını çalıştırır. C2 sunucusu, üç ayrı eklenti ve 32 bit ve 64 bit sürümlerde üç eklenti dahil olmak üzere dokuz eklenti gönderir.

Eklentinin tasarımı, SmokeLoader’ın bu eklentileri bir döngü kullanarak aşamalı olarak explorer.exe’ye enjekte ettiğini belirtir. Kötü amaçlı yazılım, Chrome, Firefox ve Edge’den çerezleri, otomatik doldurma bilgilerini ve oturum açma kimlik bilgilerini alan bir dizi eklentiyle uyumludur.

Ayrıca, FileZilla ve WinSCP gibi FTP istemcilerinin yanı sıra Microsoft Outlook’tan da oturum açma kimlik bilgilerini toplar.

Mayıs 2024’ün sonlarında SmokeLoader da dahil olmak üzere birden fazla kötü amaçlı yazılım ailesine bağlı altyapıyı yok eden Europol liderliğindeki bir girişim olan Endgame Operasyonu’nun ardından, kötü amaçlı yazılım etkinliği önemli ölçüde azaldı.

Ancak bu durumda SmokeLoader, saldırısını gerçekleştirmek için son aşama için tamamlanmış bir dosyayı indirmek yerine eklentiler gibi yeni taktikler kullanıyor.

Bu, SmokeLoader’ın çok yönlülüğünü gösterir ve bu iyi bilinen kötü amaçlı yazılımla uğraşırken bile dikkatli olmanın önemini vurgular.

KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın