Araştırmacılar, .NET tabanlı Snake Keylogger varyantını kullanan karmaşık bir kimlik avı kampanyasını ortaya çıkardı.
Bu saldırı, silahlandırılmış Excel belgelerini kullanarak Windows sistemlerine sızmayı amaçlıyor ve kullanıcı verilerinin güvenliği için önemli tehditler oluşturuyor.
Bu makalede saldırının mekaniği, kötü amaçlı yazılımın kullandığı teknikler ve kullanıcılar ile kuruluşlar açısından etkileri inceleniyor.
Snake Keylogger’ı Anlamak
Snake Keylogger, aynı zamanda “404 Keylogger” veya “KrakenKeylogger” olarak da bilinir, başlangıçta abonelik tabanlı bir hizmet olarak hacker forumlarında dağıtılan kötü şöhretli bir kötü amaçlı yazılımdır.
.NET tabanlı bu yazılım, web tarayıcılarından kaydedilmiş kimlik bilgileri, panodaki içerik ve temel cihaz bilgileri de dahil olmak üzere hassas verileri çalmak için tasarlanmıştır.
Ayrıca tuş vuruşlarını kaydedip ekran görüntüleri alabiliyor; bu da onu siber suçlular için güçlü bir araç haline getiriyor.
Sahtekarlık E-postası
Fortinet’in FortiGuard Labs’ı, saldırının alıcıları “swift copy.xls” adlı ekli Excel dosyasını açmaya kandırmaya çalışan bir kimlik avı e-postasıyla başladığını bildirdi.
E-postada, kurbanları harekete geçirmek için kullanılan yaygın bir taktik olan, paranın alıcının hesabına aktarıldığı iddia ediliyor.
FortiGuard hizmetleri bu e-postaları “[virus detected]” uyarısı konu satırında yer alıyor, ancak şüphelenmeyen kullanıcılar yine de bu tuzağa düşebilir.
Kötü Amaçlı Excel Belgesi
Excel dosyası açıldığında, kötü amaçlı kod arka planda yürütülür. Belge, ek kötü amaçlı dosyaları indirmek için CVE-2017-0199 güvenlik açığını kullanan özel olarak hazırlanmış gömülü bir bağlantı nesnesi içerir.
Bu işlem gizlidir; Excel programı gizlice daha fazla kötü amaçlı yazılım indirmeye yol açan bir URL ister.
Saldırı zinciri, Windows uygulama ana bilgisayarı (mshta.exe) tarafından yürütülen bir HTML Uygulaması (HTA) dosyasının indirilmesiyle devam ediyor.
Bu dosya, çözüldüğünde VBScript ve PowerShell betiklerini ortaya çıkaran gizlenmiş JavaScript kodu içerir.
Bu scriptler, Snake Keylogger’ın kritik saldırı bileşeni olan yükleyici modülünü indirmek ve çalıştırmaktan sorumludur.
Yükleyici Modülü
İndirilen çalıştırılabilir dosya olan Loader modülü, Microsoft .NET Framework kullanılarak geliştirilmiştir.
Siber güvenlik ürünleri tarafından tespit edilmekten kaçınmak için dönüştürme ve şifreleme gibi çok katmanlı koruma teknikleri kullanır.
Loader modülü, Snake Keylogger modülünün çekirdeğini dağıtmak için gerekli olan kaynak bölümünden çeşitli bileşenleri çıkarır ve şifresini çözer.
Modül Dağıtımı ve Kalıcılık
Loader’dan çıkartılan Deploy modülü, Snake Keylogger’ın kurbanın sisteminde kalıcılığını sağlar.
Loader modül dosyasını yeniden adlandırır, gizli ve salt okunur olarak ayarlar ve sistem Görev Zamanlayıcısı’nda başlangıçta başlatılacak zamanlanmış bir görev oluşturur.
Bu modül ayrıca kötü amaçlı yazılımın yeni bir işleme kötü amaçlı kod enjekte ederek işlemlerini gizlemesine olanak tanıyan bir teknik olan işlem boşaltma işlemini de gerçekleştirir.
Snake Keylogger saldırısı, siber suçluların gelişen taktiklerini ve güçlü siber güvenlik önlemlerinin önemini ortaya koyuyor.
Kullanıcılar ve kuruluşlar güncel antivirüs yazılımları kullanarak ve e-posta eklerine karşı dikkatli davranarak dikkatli olmalıdır.
Hassas verilerin karmaşık saldırılarla tehlikeye atılmasını önlemek için farkındalık ve eğitim büyük önem taşıyor.
Silahlandırılmış Excel belgeleri aracılığıyla gerçekleştirilen .NET tabanlı Snake Keylogger saldırısı, Windows kullanıcıları için önemli bir tehdit oluşturuyor.
Saldırının mekaniğini anlayarak ve proaktif güvenlik önlemleri alarak bireyler ve kurumlar kendilerini bu ve benzeri siber tehditlere karşı daha iyi koruyabilirler.
IOC’ler
hxxp://urlty[.]ortak/byPCO
hxxp[:]//192.3.176[.]138/xampp/yakınlaştırma/107.hta
hxxp[:]//192.3.176[.]138/107/sahost.exe
İlgili Örnek SHA-256
[swift copy.xls]
8406A1D7A33B3549DD44F551E5A68392F85B5EF9CF8F9F3DB68BD7E02D1EABA7
[107.hta]
6F6A660CE89F6EA5BBE532921DDC4AA17BCD3F2524AA2461D4BE265C9E7328B9
[The Loader module/sahost.exe / WeENKtk.exe / utGw.exe]
484E5A871AD69D6B214A31A3B7F8CFCED71BA7A07E62205A90515F350CC0F723
[Snake Keylogger core module / lfwhUWZlmFnGhDYPudAJ.exe]
207DD751868995754F8C1223C08F28633B47629F78FAAF70A3B931459EE60714
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial