Clearlake, kullanıcıların sistemlerini enfekte olarak algılamasını sağlamak için sahte antivirüs yazılımları dağıtan bir siber tehdit operasyonudur.
Bazen kötü amaçlı yazılımlar, kaldırılması için ödeme talep edecek şekilde tasarlanabilir veya hassas verileri çalan veya kurbanın sistemine daha fazla zarar veren daha fazla kötü amaçlı yazılım yükleyebilir.
Avast Threat Labs siber güvenlik analistleri yakın zamanda .NET tabanlı kötü amaçlı yazılımları dağıtmak için web sitelerini aktif olarak ele geçiren tehdit aktörlerini tespit etti.
.NET Tabanlı Kötü Amaçlı Yazılımları Yaymak İçin Web Sitelerini Ele Geçirme
Tehdit aktörleri genellikle .NET kötü amaçlı yazılımlarını kullanırlar, çünkü bu onların tespit edilmesi zor, karmaşık ve anlaşılması zor kodlar oluşturmalarına yardımcı olur.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
.NET framework içindeki kapsamlı kütüphane seti, kötü amaçlı işlevlerin kolay entegrasyonu ile hızlı geliştirme olanağı sağlarken, Windows işletim sistemiyle uyumluluğu sayesinde çok çeşitli kitleleri hedefleyen siber suçlular arasında popüler hale geliyor.
ClearFake girişimi, yakın zamanda kötü amaçlı yazılım dağıtım yoluyla ortaya çıkan oldukça karmaşık bir çevrimiçi güvenlik tehdididir.
Bu operasyon, meşru web sitelerine sızmayı ve daha sonra sahiplerinin bilgisi olmadan bu sitelerin kötü amaçlı yazılım platformu olarak kullanılmasını içeriyor.
Kötü amaçlı yazılımın özellikle .NET framework’ü hedef alması, Windows’a odaklanıldığını ve muhtemelen bu ortak geliştirme platformundaki hatalardan yararlandığını gösteriyor.
ClearFake’i benzer kampanyalardan ayıran en önemli özellik, GitHub ve Bitbucket gibi ücretsiz kod barındırma hizmetlerini akıllıca kullanmasıdır.
Saldırganlar, kötü amaçlı yazılımlarının yüklerini barındırmak, dağıtmak ve hatta güncellemek için bu platformları kullanırlar.
Bu durum, yazılımı normal geliştirici faaliyetinden neredeyse ayırt edilemez hale getiriyor ve güvenlik sistemlerinin kötü amaçlı yazılımı tespit edip engellemesini zorlaştırıyor.
Ayrıca, “http://redr” gibi URL kısaltma hizmetleri[.]Kampanyada “ben” ifadesi kullanılıyor ve bu da kafa karışıklığına ekstra bir boyut katıyor.
Bu kısaltılmış bağlantılar, tıklama oranlarını artırabileceği ve kötü amaçlı URL’lerin gerçek hedefini gizleyebileceği için tespit çabalarını zorlaştırır.
Clearlake, bu yasal web servislerini istismar ettiği için siber güvenlik uzmanları ve sıradan internet kullanıcıları için ciddi bir tehdit oluşturmaktadır.
Bunun yanı sıra, kampanya sırasında kullanılan akıllıca hamle, yeni siber tehditlerin giderek daha karmaşık hale geldiğinin, dolayısıyla her türlü kaynaktan gelen bağlantılara karşı daha fazla dikkatli olunması, daha iyi web filtreleri kullanılması ve meşru çevrimiçi kaynakların yasadışı amaçlar için kötüye kullanılması konusunda farkındalığın artırılması gerektiğinin bir göstergesi.
Siber güvenlik araştırmacıları, kullanıcıları dikkatli olmaları konusunda uyardı ve web tarayıcılarını güncellemeleri yönünde talepte bulunan sayfalara karşı uyardı.
IoC’ler
- enfekte web sayfası: stoicinvesting[.]com
- yük URL’si: dais7nsa[.]resimler/bitiş noktası
- binance sözleşmesi: 0xa6165aa33ac710ad5dcd4f4d6379466825476fde
- GitHub deposu: github[.]com/TarayıcıŞirketLLC/-12
- Bitbucket depoları: bitbucket[.]org/shakespeare1/çalışma alanı/projeler/
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download