Siber güvenlik araştırmacıları, geleneksel güvenlik savunmalarını aşmak için yeni ortaya çıkan iki saldırı tekniğini birleştiren karmaşık bir kimlik avı saldırısını ortaya çıkardı.
Hibrit yaklaşım, FileFix sosyal mühendislik taktiklerini önbellek kaçakçılığıyla birleştirerek ağ tabanlı tespit sistemlerini tetiklemeden kötü amaçlı yazılım yüklerini dağıtıyor.
Bu evrim, tehdit aktörlerinin, yürütme sırasında internet bağlantısı kurmak için kötü amaçlı kod ihtiyacını ortadan kaldırarak uç nokta tespit ve yanıt çözümlerini nasıl atlattıkları konusunda önemli bir değişimi temsil ediyor.
Saldırı, meşru bir FortiClient Uyumluluk Denetleyicisi arayüzü gibi görünen aldatıcı bir kimlik avı sayfasıyla başlıyor.
.webp)
Kurbanlar, pano içeriğini Windows Gezgini adres çubuğuna yapıştırarak kötü amaçlı komutları çalıştıracak şekilde sosyal olarak tasarlanmıştır.
Bu teknik, Windows Çalıştır iletişim kutusunda 260 karakterle sınırlı olan geleneksel ClickFix saldırılarına kıyasla çok daha büyük yükler sağlamak için Explorer’ın adres çubuğunun 2048 karakterlik sınırını kullanan FileFix metodolojisinden yararlanıyor.
.webp)
Saldırganlar, komutlarını boşluklarla doldurarak daha da belirsizleştirir, yalnızca zararsız görünen metinlerin kullanıcılara görünür görünmesini sağlarken, gizli bölümlerde kötü amaçlı PowerShell komut dosyalarını gizler.
Bu kampanyayı geleneksel kötü amaçlı yazılım dağıtım yöntemlerinden ayıran şey, kurban sistemlerindeki yükleri önceden konumlandırmak için önbellek kaçakçılığının yenilikçi kullanımıdır.
Saldırı, güvenlik araçlarının genellikle izlediği geleneksel web istekleri yoluyla kötü amaçlı dosyalar indirmek yerine, meşru görüntü dosyaları olarak gizlenen gömülü yürütülebilir dosyaları depolamak için tarayıcı önbellekleme mekanizmalarından yararlanıyor.
MalwareTech analistleri, bu tekniği Expel Security’deki tehdit istihbaratı araştırmaları sırasında tespit ederek, ilk aşama yükleyicinin herhangi bir şüpheli ağ trafiği oluşturmadan ikinci aşama yükünü doğrudan tarayıcının önbelleğinden nasıl çıkardığını kaydetti.
Teknik uygulama, aslında kötü amaçlı yükü içeren bir ZIP arşivi olan sahte bir JPG dosyasını almak için fetch() işlevini kullanan JavaScript kodunu içerir.
Saldırganlar, HTTP İçerik Türü başlığını image/jpeg olarak ayarlayarak web tarayıcılarını, yürütülebilir dosyaları standart statik varlıklarmış gibi önbelleğe almaları için kandırır.
Yerleşik PowerShell betiği daha sonra kaçak ZIP dosyasını bulmak için tarayıcının önbellek dizininde arama yapar, içeriğini çıkarır ve ağ izleme sistemlerini uyaracak herhangi bir harici bağlantı kurmadan kötü amaçlı yazılımı çalıştırır.
Gelişmiş Exif Kaçakçılık Tekniği
Temel önbellek kaçakçılığı ilkelerini temel alan güvenlik araştırmacıları, meşru görüntü dosyalarında Exif meta verilerini gizlemeyi kullanarak daha da karmaşık bir varyasyon geliştirdiler.
Bu teknik, JPG görüntüleri içinde 64 KB’a kadar meta veri depolamaya izin veren Değiştirilebilir Görüntü Dosyası Formatı spesifikasyonunu kullanır.
Saldırganlar, geçerli görüntü yapısını korurken büyük boyutlu Exif alanlarına kötü amaçlı yükleri yerleştirerek, sıradan incelemelerle tespit edilemeyen gizli çalıştırılabilir kodları aynı anda taşıyan tam işlevsel fotoğraflar oluşturabilir.
Uygulama, Exif ayrıştırıcılarının ASCII dize alanlarını işleme biçimindeki tuhaflıktan yararlanıyor. Çoğu yazılım boş baytı dize sonlandırma karakteri olarak yorumlarken, Exif spesifikasyonu gerçek veri boyutunu tanımlayan ayrı bir uzunluk alanı içerir.
Araştırmacılar bunu, iyi huylu metin olarak yapılandırılmış, ardından boş bir bayt ve ardından sınırlayıcı etiketlere sarılmış yük verileri olarak yapılandırılmış Görüntü Açıklama alanları oluşturarak gösterdiler.
Windows Gezgini özellikleri aracılığıyla görüntülendiğinde yalnızca zararsız açıklama görünür, ancak kötü amaçlı yükün tamamı dosya yapısı içinde gömülü kalır ve belirli bayt kalıplarıyla eşleşen PowerShell normal ifadeleri kullanılarak programlı çıkarma yoluyla erişilebilir.
Bu Exif kaçakçılığı yaklaşımı, daha önceki önbellek kaçakçılığı uygulamalarının çeşitli eksikliklerini ortadan kaldırır.
Yürütülebilir dosyaları basitçe görüntü dosyaları olarak yeniden etiketleyen geleneksel yöntemler, bozuk görüntü simgeleri oluşturdu ve içerik türü doğrulaması gerçekleştiren güvenlik duvarları tarafından algılanma riskiyle karşı karşıya kaldı.
Yeni teknik, özel Exif ayrıştırıcıları olmadan çıkarılabilen gizli yükleri içerirken normal şekilde işlenen, tamamen geçerli JPG dosyaları üretir.
Testler, bu yöntemin, önizleme özellikleri devre dışı bırakıldığında bile görüntülerin önleyici olarak önbelleğe alındığı Microsoft Outlook e-posta ekleri de dahil olmak üzere birden fazla saldırı vektöründe işe yaradığını ve potansiyel olarak kullanıcılar mesajları açmadan önce yüklerin teslim edildiğini ortaya çıkardı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
