Güvenlik araştırmacıları, tehdit aktörlerinin kısıtlama bypass araçları olarak gizlenmiş Silentcryptominer kötü amaçlı yazılımları dağıtmak için popüler YouTuber’ları zorladığı karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Bu kampanya zaten Rusya’da 2.000’den fazla kurbanı etkiledi ve gerçek sayı potansiyel olarak çok daha yüksek.
Kötü amaçlı yazılım, erişim kısıtlamalarını atlamak için tasarlanmış yardımcı programlarda giderek daha fazla kullanılan bir teknoloji olan Windows Packet Siverter sürücülerini kullanır.
Kampanya, son altı ay içinde kullanıcı cihazlarında bu tür sürücülerin 2,4 milyondan fazla tespiti ile bu bypass araçlarının artan popülaritesinden yararlanıyor.
Özellikle dağıtım yöntemiyle ilgili bir şey, içerik oluşturuculara bypass aracı talimatlarıyla videolar hakkında telif hakkı grevleri gönderen tehdit aktörlerini içerir, ardından enfekte olmuş dosyalara bağlantılarla video yayınlamadıkça YouTube kanallarını kapatmakla tehdit eder.
Bu yeni şantaj şeması, popüler YouTuber’ların itibarını önemli takiplerle başarılı bir şekilde manipüle etti.
Belgelenmiş bir durumda, 60.000 aboneli bir YouTuber, açıklamada kötü niyetli bir arşive bağlantı da dahil olmak üzere blokları atlamak için talimatlar içeren birkaç video yayınladı.
Bu videolar, bağlantının değiştirilmesinden önce 400.000’den fazla görüntüleme biriktirdi, “Program işe yaramıyor” diyen bir mesajla değiştirildi.
Bağlantı kullanıcıları Gitrok’a yönlendirmişti[.]40.000’den fazla indirilmiş enfekte arşivi barındıran com.
Securelist araştırmacılar, enfeksiyonun tipik olarak PowerShell kullanarak kötü amaçlı bir yürütülebilir çalıştırılabilir çalıştırılan değiştirilmiş bir başlangıç komut dosyası içeren bir arşiv ile başladığını belirtti.
Güvenlik çözümleri kötü amaçlı dosyayı silerse, komut dosyası kullanıcıları antivirüs korumasını devre dışı bırakmaya teşvik eden bir mesaj görüntüler: “Dosya bulunamadı, tüm antivirüsleri devre dışı bırakın ve dosyayı yeniden indirin, bu yardımcı olacaktır!”
%20and%20modified%20(right)%20general.bat%20start%20script%20(Source%20-%20Securelist).webp)
Kötü amaçlı yazılım zinciri
Teknik enfeksiyon zinciri çok aşamalı ve sofistike. İlk yükleyici Python’da yazılmıştır ve genellikle pyomor ile gizlenmiş Pyinstaller kullanılarak yürütülebilir bir şekilde paketlenir.
Birinci aşama yükleyici şu şekilde kod içerir:-
import os
import subprocess
import sys
import ctypes
import base64
cmb8F2SLqf1 = '595663786432497a536a424...335331453950513d3d'
decoded_hex = bytes.fromhex(cmb8F2SLqf1).decode()
step1 = base64.b64decode(decoded_hex).decode()
exec(base64.b64decode(step1).decode())Bu yükleyici, tuval gibi alanlardan ikinci aşama yükü alır[.]evcil hayvan veya swapme[.]eğlence.
.webp)
Kötü amaçlı yazılım daha sonra anti-VM teknikleri kullanır, Defender istisnalarına dizinler ekler ve dwm.exe gibi sistem süreçlerine enjekte etmek için proses oyma kullanan Silentcryptominer’ı indirir.
Madenci birden fazla kripto para birimleri yapabilir ve belirli programlar aktif olduğunda duraklamayı koruyacak şekilde yapılandırılır.
Güvenlik uzmanları, sofistike kötü amaçlı yazılım dağıtımı için giderek daha fazla vektör olarak hizmet ettikleri için kısıtlama bypass araçlarını kullanırken çok dikkatli olmayı önermektedir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free