Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Mali Motivasyonlu Tehdit Grubu, Görüntülere Kötü Amaçlı Kod Yerleştiriyor
Prajeet Nair (@prajeetspeaks) •
16 Nisan 2024
Güvenlik araştırmacıları, finansal motivasyona sahip bilgisayar korsanlarının, Latin Amerika’daki işletmeleri hedef almak için dijital görüntülerdeki kötü amaçlı kodları gizlemek gibi eski ama güzel bir tekniği kullandığını söyledi.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Positive Technologies araştırmacıları dünya çapında 300’den fazla saldırı tespit etti ve bunları TA558 olarak takip edilen tehdit aktörlerine bağladı.
Positive Technologies’e göre, Proofpoint tarafından ilk kez 2018’de tespit edilen tehdit aktörü, başlangıçta İspanyol ve Portekiz ülkelerindeki konaklama sektörüne odaklandı ancak son zamanlarda Rusya, Romanya ve Türkiye’deki diğer sektörlerdeki mağdurları da hedef almaya başladı. Cyble ve MetabaseQ’dan araştırmacılar da Positive Technologies tarafından tespit edilen TA558 kampanyalarından bazılarını açıkladılar.
Siber suç grubunun cephaneliği, AgentTesla, FormBook, Remcos, LokiBot, GuLoader, Snake Keylogger ve XWorm dahil olmak üzere sayısız araç ve kötü amaçlı yazılımla övünüyor.
Positive Technologies araştırmacıları, AgentTesla’ya yönelik bir kurbanın, Microsoft Office’in eski sürümlerindeki bir güvenlik açığından yararlanan bir Excel belgesini indirdiği bir enfeksiyon zincirini belgeledi. CVE-2017-11882 olarak takip edilen kusur, bir saldırganın ek yükler için bir dizi çağrıyı başlatan ve sonuçta bir görüntünün indirilmesiyle sonuçlanan rastgele bir kod çalıştırmasına olanak tanıyor. uploaddeimagens.com.brücretli resim barındırma hizmeti.
Görüntü, bir jpeg, görüntüdeki yükün şifresini çözen, ek bir yük indiren ve kurbanın bilgisayarında Ajan Tesla’yı çalıştıran bir PowerShell betiği içerir. Resim, ses dosyası veya video gibi başka bir veri parçasının içine kod veya gizli mesajların gizlenmesi steganografi veya “stego” olarak bilinir.
Araştırmacılar, başka bir senaryoda, bir Microsoft Word belgesinin Remcos RAT kurulumuna yol açan bir zincir başlattığını ve benzer bir saldırı zincirinin XWorm RAT’ı bir Excel dosyası aracılığıyla ve LokiBot’u bir RTF belgesi aracılığıyla dağıttığını söyledi.
Positive Technologies’in TA558 saldırısını detaylı inceleyebilmesinin bir nedeni: Tehdit aktörünün, saldırılarda kullanılan dosyaların bulunduğu sunucuları, açık internete açık sunuculara bırakması. “Ayrıca, genel dizinlerin bulunduğu sunucularda çalınan verileri içeren kötü amaçlı yazılım günlükleri de bulduk.”