Tehdit Oyuncuları Metastealer’ı yaymak için Windows Araması Anydesk ClickFix saldırısında


ClickFix dolandırıcılığının bir yıl süren trendinde yeni bir bükülmede, tehdit aktörleri, insani doğrulama sosyal mühendisliğini, kimlik bilgilerini hasat ve söndürme için kötü şöhretli olan Metastealer’ı sunmak için Windows Arama Protokolü ile harmanladı.

Saldırı yüzeysel olarak klasik ClickFix ve FileFix tekniklerine benzerken, sahte bir anydesk yükleyicisinden PDF olarak gizlenmiş bir MSI paketine kadar benzersiz enfeksiyon zinciri, “düzeltme” varyantlarının gelişen sofistike olmasını sağlar.

Saldırı, meşru anydesk uzaktan erişim aracı arayan bir hedef, AnyDeesk’e[.]Mürekkep/İndir/Anydesk.html, sahte bir Cloudflare Turnike İnsan Doğrulama İstemi içeren bir kimlik avı sayfası.

Bir Cloudflare turnikesi içeren başka bir saldırı - bu sefer gerçek bir ClickFix saldırısı.
Bir Cloudflare Turnikatı içeren başka bir saldırı – bu sefer gerçek bir ClickFix saldırısı.

Sayfanın gizlenmiş JavaScript, bir kez bozulduktan sonra kurbanları doğrulamaya yönlendirir.[.]Mürekkep/Recaptcha-v2.php, burada doğrulama kutusuna tıklamak, ClickFix kampanyalarında ortak olan basit bir PowerShell yerine Windows Dosyası Gezgini Hack’i tetikler veya iletişim kutusu yürütme.

Kullanıcılara kodu RUN iletişim kutusuna (ClickFix) veya Dosya Gezgini adres çubuğuna (FileFix) yapıştırmalarını öğretmek yerine, kimlik avı sayfası, Search-MS URI protokolünün bir parçası olarak özel bir arama sorgusunun adını görüntüleyen Search-MS URI şemasından yararlanır.

Search-MS için DisplayName parametresi, saldırının bir sonraki aşamasını ortaya çıkarır.
Search-MS için DisplayName parametresi, saldırının bir sonraki aşamasını ortaya çıkarıyor.

Mağdurlar “Doğrula” yı tıkladığında, tarayıcıları Windows Dosya Gezgini’ni çağırır ve Search-MS URI’sindeki DisplayName parametresiyle tanımlanan özel bir arama sorgusu açar.

Bu sorgu sessizce saldırgan kontrollü bir SMB paylaşımına bağlanır ve kullanıcıya ReadMe anydesk.pdf adlı bir PDF gibi görünen bir şey sunar.

Gizlenmiş LNK kısayolu Snags Ana Maddeleri

Bir PDF kisvesinin arkasında kötü niyetli bir Windows kısayolu (LNK) dosyası bulunur. Yürütüldüğünde, kısayolun yükü iki eşzamanlı işlemi tetikler: Meşru anydesk yükleyicisini Microsoft Edge aracılığıyla sessizce indirir-kullanıcıyı gerçek bir uygulamanın yüklendiğine inanmaya itmek için daha büyüktür ve CHAT1’den sözde bir “PDF” getirir.[.]geçici bir dizin halinde saklayın.

Decoy AnyDesk PDF olarak gizlenmiş bir Windows kısayol dosyası.
Decoy Anydesk PDF olarak gizlenmiş bir Windows kısayol dosyası.

En önemlisi, “PDF” yükleyicisi, indirme URL’sini oluşturmak için kurbanın % computername % ortam değişkenini kullanır, böylece her kampanyayı önceden yapılandırmadan ana bilgisayar adını toplar.

Chat1’in analizi1[.]Curl kullanıcı aracısıyla erişilen mağaza sunucusu, MSI paketinin tamamını ortaya çıkardı. İçeride, bir CustomActionDLL ve bir sıkıştırılmış kabin arşivi (Binary.bz.WrappedSetuprogram) İki temel kötü amaçlı bileşeni açın: bir temizlik JavaScript (1.js) ve Metastealer damlası LS26.exe.

“Çözüm”, saldırgan kontrollü bir istemi ile kurbanlara beslenen bir komutu kopyalamak ve yapıştırıyor, bu da saldırgan zincirini sessizce başlatıyor.

https://www.youtube.com/watch?v=wm0kqslyeje

Özel exe koruyucusu ile korunan LS26.exe, bilinen Metastealer örnekleri ile aynı davranır, tarayıcı kimlik bilgilerini, kripto-cüzdan dosyalarını ve belge mağazalarını pesfiltrasyondan önce tarar.

Bu saldırı, geleneksel ClickFix ve FileFix cazibesi ile ortak unsurları paylaşmasına rağmen-yani, Captcha olarak gizlenen sosyal mühendislik istemleri-Search-MS URI’lerine ve SMB paylaşımlarına geçiş önemli bir evrime işaret ediyor.

Kullanıcıları komutları çalıştırma iletişim kutusuna yapıştırmaya ve dosya explorer adres çubuğundan yararlanan FileFix’in aksine, yeni varyant, kötü niyetli bir yükleyicinin yanında tanıdık bir uzak masaüstü kurulumu teslim ederek tamamen kullanıcı şüphesini atar.

Savunma önlemleri ve kullanıcı eğitimi

Windows Run iletişim kutusunu devre dışı bırakarak veya kısıtlayarak klasik ClickFix tehditlerini hafifleten kuruluşlar, Search-MS tabanlı yemlere karşı savunmasız olabilir. Savunmaları desteklemek için:

  • Yetkisiz komut dosyası yürütme ve MSI kurulumlarını engellemek için katı uygulama beyaz listesini uygulayın.
  • Search-MS gibi Windows protokol işleyicilerinin güvenilmeyen SMB paylaşımlarına erişmesini izleyin ve kısıtlayın.
  • Kullanıcıları, herhangi bir komut yürütme veya dosya açılış düzeyini isteyen istenmeyen captchas veya doğrulama istemlerini sorgulamalarını eğitin.
  • MSIExec.exe, cmd.exe indirmelerinin beklenmedik lansmanlarını işaretlemek için uç nokta algılama kurallarını dağıtın ve SMB tanıdık olmayan ana bilgisayarlarla bağlantıları paylaşın.

Tehdit aktörleri “düzeltin” tarzı saldırıları geliştirmeye devam ettikçe, meşru özellikleri sosyal mühendislikle harmanlamak güçlü bir kaçak taktiği olmaya devam edecektir. Metastealer gibi infostenerleri teslim etmeden önce bu gelişen enfeksiyon zincirlerini tespit etmek ve bozmak için uyanık kullanıcı eğitimi ve katmanlı teknik kontroller gereklidir.

IOC

Gösterge Tanım
HTTPS[://]Anydeesk[.]Mürekkep/İndir/Anydesk[.]HTML Sahte Cloudflare turnikesi ile alan adı
Tacaawwamow[.]xyz Metastealer C2 Etki Alanı
Yeosyyaewokgioa[.]xyz Metastealer C2 Etki Alanı
CMQSQOMIWWKSMCSW[.]xyz Metastealer C2 Etki Alanı
38[.]134[.]148[.]74 Metastealer C2 IP Adresi
Ls26.exe
SHA256
0fc76b7f06aaa80a43abafc1e9b88348734e327f306d700c877c6a210fbd5e7
Metastealer Droper PE
CustomActiondll
SHA256
FD622CF73E951A6DE631063ABA856487D7745DD1500ADCA61902B8DDE5FE1
MSI paketinde bulunan dosya
Binary.bz.WrappedSetupprogram
SHA256
51392D7076984D5C5A42AFC12B6AF820F3254AF75C9958EF33190317
Kötü niyetli bileşenler içeren taksi dosyası

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link