.NET tabanlı kötü amaçlı yazılım, çeşitli yükler teslim edecek şekilde yapılandırılabilir ve tehlikeye attığı sistemlerde onu son derece gizli ve kalıcı kılan işlevlerle bilinir.
Çok sayıda tehdit grubu, bilgi hırsızlarını ve AgentTesla, AsyncRAT ve NanoCore gibi uzaktan erişim Truva Atlarını kaldırmak için en az 2015’ten beri DarkTortilla’yı kullanıyor. Babuk operatörleri gibi bazı fidye yazılımı grupları da yük taşıma zincirlerinin bir parçası olarak DarkTortilla’yı kullandı. Bu kampanyaların birçoğunda, saldırganlar, şüphelenmeyen kullanıcıları kötü amaçlı yazılıma bulaştırmak için öncelikle spam e-postalarda kötü amaçlı dosya ekleri (.zip, .img, .iso) kullandı.
Kimlik Avı Siteleri Yoluyla DarkTortilla Teslimatı
Son zamanlarda, Cyble Research and Intelligence Labs’deki araştırmacılar, tehdit aktörlerinin kötü amaçlı yazılımı dağıtmak için meşru siteler gibi davranan iki kimlik avı sitesi kullandığı kötü niyetli bir kampanya tespit etti. Cyble, kampanya operatörlerinin iki siteye bağlantı dağıtmak için muhtemelen spam e-posta veya çevrimiçi reklamlar kullandığını tahmin etti.
Sahte Grammarly web sitesine giden bağlantıyı izleyen kullanıcılar, “Grammarly Al” düğmesini tıkladıklarında sonunda “GnammanlyInstaller.zip” adlı kötü amaçlı bir dosyayı indirirler. .zip dosyası, ikinci bir şifrelenmiş 32-bit .NET yürütülebilir dosyasını düşüren, Grammarly yürütülebilir dosyası kılığına girmiş kötü amaçlı bir yükleyici içerir. Bu da saldırganın kontrolündeki bir uzak sunucudan şifrelenmiş bir DLL dosyası indirir. Cyble, .NET yürütülebilir dosyasının şifrelenmiş DLL dosyasının şifresini çözdüğünü ve onu, çeşitli kötü amaçlı etkinlikleri yürüttüğü güvenliği ihlal edilmiş sistemin belleğine yüklediğini söyledi.
Bu arada Cisco kimlik avı sitesi, Cisco’nun Secure Client VPN teknolojisi için bir indirme sayfası gibi görünüyor. Ancak bir kullanıcı ürünü “sipariş etmek” için düğmeyi tıkladığında, bunun yerine saldırgan tarafından kontrol edilen uzak bir sunucudan kötü amaçlı bir VC++ dosyası indirir. Kötü amaçlı yazılım, güvenliği ihlal edilmiş sisteme DarkTortilla’nın yüklenmesiyle sonuçlanan bir dizi eylemi tetikler.
Cyble’ın yük analizi, kalıcılık, işlem enjeksiyonu, antivirüs ve sanal makine/korumalı alan kontrolleri yapma, sahte mesajlar görüntüleme ve komut ve kontrol (C2) sunucusuyla iletişim kurma ve buradan ek yükler indirme için kötü amaçlı yazılım paketleme işlevlerini gösterdi.
Cyble’ın araştırmacıları, örneğin virüslü bir sistemde kalıcılığı sağlamak için DarkTortilla’nın kendisinin bir kopyasını sistemin Başlangıç klasörüne bıraktığını ve Run/Winlogin kayıt defteri girdileri oluşturduğunu buldu. Ek bir kalıcılık mekanizması olarak DarkTortilla, virüslü sistem üzerinde “system_update.exe” adlı yeni bir klasör de oluşturur ve kendini bu klasöre kopyalar.
Sofistike ve Tehlikeli Kötü Amaçlı Yazılım
Bu arada DarkTortilla’nın sahte mesaj işlevi, temelde kurbanları, sistemlerinde belirli bağımlı uygulama bileşenleri bulunmadığından istedikleri Grammarly veya Cisco uygulamasının çalıştırılamadığına inandırmak için mesajlar sunar.
Cyble araştırmacıları Pazartesi günü yayınlanan bir danışma belgesinde “DarkTortilla kötü amaçlı yazılımı, vahşi ortamda kullanıcıları hedefleyen, son derece gelişmiş .NET tabanlı bir kötü amaçlı yazılımdır” dedi. “Phishing sitelerinden indirilen dosyalar, farklı bulaşma teknikleri sergiliyor, bu da [threat actors] çeşitli seçenekleri kullanarak ikiliyi özelleştirebilen ve derleyebilen gelişmiş bir platforma sahip olun.”
Belirtildiği gibi DarkTortilla, genellikle ek kötü amaçlı yazılımlar için ilk aşama yükleyici görevi görür. Secureworks’ün Karşı Tehdit Birimi’nden araştırmacılar bu yılın başlarında, Remcos, BitRat, WarzoneRat, Snake Keylogger, LokiBot, QuasarRat, NetWire ve DCRat dahil olmak üzere çok çeşitli kötü amaçlı yazılımları toplu olarak dağıtmak için DarkTortilla’yı kullanan tehdit aktörlerini belirledi.
Ayrıca, Cobalt Strike ve Metasploit uzlaşma sonrası saldırı kitleri sağlamak için hedefli saldırılarda kötü amaçlı yazılımı kullanan bazı düşmanları da belirlediler. O sırada Secureworks, geçen yıl kritik bir Microsoft Exchange uzaktan kod yürütme güvenlik açığını (CVE-2021-34473) hedef alan bir saldırıda kötü amaçlı yazılımı kullanan bir tehdit aktörünü ilk tespit ettiğinden beri en az 10.000 benzersiz DarkTortilla örneği saydığını söyledi.
Secureworks, DarkTortilla’yı, yüksek derecede yapılandırılabilirliği ve kodunu gizlemek için CofuserEX ve DeepSea gibi açık kaynak araçlarını kullanması nedeniyle çok tehlikeli olarak değerlendirdi. O sırada Secureworks, DarkTortilla’nın ana yükünün tamamen bellekte yürütülmesinin, kötü amaçlı yazılımı tehlikeli ve tespit edilmesini zorlaştıran başka bir özellik olduğunu belirtti.