Tehdit aktörleri, kötü amaçlı yazılımları dağıtmak için her yerde “insan olduğunuzu kanıtlayın” doğrulama sistemlerinden yararlandıkları bulunmuştur.
Özellikle, bu kampanya, kullanıcıları Windows sistemlerinde zararlı PowerShell komut dosyaları yürütmeleri için aldatmak için gitCodes ve Docusign gibi meşru platformları taklit eden sahtekâr web sitelerini kullanıyor.
Aldatıcı captcha taktikleri
Bu komut dosyaları, başlangıçta meşru idari amaçlar için tasarlanmış ancak siber suçlular tarafından yetkisiz erişim ve kontrol için sıklıkla istismar edilen bir araç olan Netsupport Uzaktan Access Trojan’ı (RAT) kuran çok aşamalı bir saldırı başlatır.
.png
)
Saldırı, kullanıcıların gitCodes gibi hileli web sitelerine çekilmesiyle başlar[.]Org, “GitCodes – 2002’den beri #1 yapıştır aracı!” veya docusign.sa gibi sahte docuSign doğrulama sayfaları[.]com.
Rapora göre, bu siteler kullanıcıları, sağlanan bir komut dosyasını Windows Run istemine kopyalayıp yapıştırmalarını isteyen zararsız Captcha benzeri zorluklar sunuyor.
Genellikle GitCodes gibi platformlarda barındırılan bu ilk komut dosyası, bir indirici görevi görür ve TradingViewtool gibi alanlardan sonraki komut dosyalarını getirir[.]com ve TradingViewToolz[.]com.
Sofistike çok aşamalı saldırı
HTTPS gibi uç noktalara sahip kontroller dahil bir dizi web isteği aracılığıyla[:]// TradingViewTool[.]com/info2.php, saldırı, Netsupport Rat’ın dağıtımında bir sonraki doruk noktasını indiren ve yürütme her komut dosyasını birden çok aşamadan geçer.
Kalıcılık, genellikle “desteğim” olarak gizlenmiş kötü amaçlı yazılımları veya Client32.exe gibi yürütülebilir ürünler aracılığıyla Windows Kayıt Defterinin Run anahtarına veya başlangıç klasörüne girerek elde edilir ve her kullanıcı girişiyle başlatılmasını sağlar.
DocuSign sahte önünde, saldırganlar, ROT13 kodlu bir komut dosyasının sahte bir Captcha onay kutusu ile etkileşim üzerine kurbanın panosuna kopyalandığı pano zehirlenmesi teknikleri kullanır.
Daha sonra kullanıcılara, GitHub’dan wbdims.exe veya fermuarlı arşivlerden jp2launcher.exe gibi ek yüklerin indirilmesini tetikleyerek bu komut dosyasını Win+R komutları aracılığıyla yapıştırmaları ve çalıştırmaları talimatı verilir.
Bu komut dosyaları, Docusign.sa gibi uç noktalar aracılığıyla komut ve kontrol (C2) sunucularıyla iletişim kurar.[.]com/doğrulama/c.php, enfeksiyonu derinleştirmek için daha fazla kötü amaçlı indirme ve tarayıcı sayfası yenilemeleri kolaylaştırır.
Mhousecreative gibi alanlara tekrarlanan komut dosyası yürütmelerini ve ağ çağrılarını içeren karmaşık, çok katmanlı yaklaşım[.]170.130.55 gibi com veya IP adresleri[.]203: 443, saldırıyı daha küçük, daha az göze çarpan adımlara ayırarak tespitten kaçınmayı amaçlamaktadır.
Bu kampanyanın altyapısı, Discord ve Github gibi platformlarda kötü amaçlı yazılımların yanı sıra OKTA ve popüler medya uygulamalarını taklit eden sahte sitelerde gözlemlenen benzer taktiklerle daha geniş bir istismar ekosistemini ortaya koyuyor.
Atıf belirsizliğini korumakla birlikte, etki alanı kayıtlarındaki kalıplar (Cloudflare, Namecheap, Namesilo aracılığıyla), yük yeniden kullanımı ve teslimat URL’leri, Socgholish gibi bilinen tehdit gruplarıyla veya FIN7 ve Storm-0408 gibi aktörlerle potansiyel örtüşmeyi önermektedir.
Sofistike, tanıdık çevrimiçi etkileşimlere kullanıcı güveninden yararlanmak, rutin doğrulamaları kendi kendine enfeksiyon için vektörlere dönüştürmektir.
Siber güvenlik uzmanları, uyanık meşru siteler nadiren senaryo yürütme talep ediyor ve bu tür herhangi bir hızlı emri incelemeyi gerektiriyor.
URL’lerin, SSL sertifikalarının doğrulanması ve doğrulanmamış pano içeriğinden kaçınmak, bu tehdidi azaltmak için kritik adımlardır ve sosyal mühendislik saldırılarının gelişen bir manzarasında sürekli kullanıcı eğitimine duyulan ihtiyacın altını çizmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!