Siber güvenlik araştırmacıları, enfekte olmuş cihazları konut vekillerine dönüştürmek için meşru görünüşte bir PDF editör uygulamasını kullanan sofistike yeni bir tehdit kampanyası ortaya çıkardılar.
Verimlilik araçlarının kisvesi altında dağıtılan kötü amaçlı yazılım, kalıcı ağ erişimi oluşturmak ve uzlaşılmış sistemlerden para kazanmak için güvenilir yazılım kategorilerini giderek daha fazla kullanan tehdit aktörleri tarafından gelişen bir yaklaşımı temsil eder.
Saldırı, kod imzalama imzasını taşıyan dosyalarla başlar “Glint Software Sdn. Bhd.” başlangıçta kötü amaçlı yüke güvenilirlik sağlıyor gibi görünüyor.
Bununla birlikte, bu meşruiyet kaplamasının altında, “Manualfinder” olarak adlandırılan birincil truva atını bırakmak ve yürütmek için tasarlanmış JavaScript bileşenleri ile başlayan karmaşık bir enfeksiyon zinciri yatmaktadır.
Bu çok aşamalı yaklaşım, saldırganların modern güvenlik tespit mekanizmaları ve geleneksel imza tabanlı tespit sistemlerinden kaçınma çabalarını anlamalarını göstermektedir.
.webp)
Expellecity analistleri, şüpheli ağ faaliyetlerini ve dosya davranış kalıplarını izlemeleri yoluyla ortaya çıkan bu tehdidi tanımladılar.
Araştırmacılar, kötü amaçlı yazılımın ilk dağıtım stratejisinin, sürekli sorunlu bir yazılım olarak işaretlenen OneTart tarayıcı uygulamasına büyük ölçüde dayandığını gözlemlediler.
Bu tarayıcı, JavaScript dosyalarını kullanıcının geçici dizininden yürüten ve sonraki kötü amaçlı yazılım dağıtımı için bir dayanak oluşturan planlanmış görevler oluşturur.
.webp)
Enfeksiyon mekanizması, JavaScript bileşeninin alan adlarını, özellikle MKA3E8’i komuta ve kontrol etmek için ulaştığı dikkatle düzenlenmiş bir işlemi ortaya çıkarır.[.]com ve benzer altyapı.
Bu alanlar, enfeksiyon zinciri boyunca meşruiyet görünümünü korumak için aynı hileli kod imzalama sertifikasını koruyan manuelfinder uygulaması için dağıtım noktaları görevi görür.
Aldatıcı işlevsellik ve proxy işlemleri
Bu tehdidi özellikle sinsi yapan şey, gerçek işlevselliği kötü niyetli davranışlarla birleştiren çift amaçlı tasarımıdır.
Kontrollü bir sanal alan ortamında yürütüldüğünde, ManualFinder aslında kullanıcıların ürün kılavuzlarını ve belgelerini bulmalarına yardımcı olma konusunda reklamı yapılan işlevini yerine getirir.
Bu meşru işlevsellik, etkili bir duman perdesi olarak hizmet eder ve potansiyel olarak kötü amaçlı yazılımların aksi takdirde tamamen kötü niyetli kodu işaretleyebilecek davranışsal analiz sistemlerini atlamasına izin verir.
Ancak, ağ davranışını ve sistem değişikliklerini analiz ederken uygulamanın gerçek amacı belirginleşir.
Truva atı, enfekte olmuş cihazları konut proxy düğümlerine dönüştürür ve tehdit aktörleri tarafından para kazanılabilen dağıtılmış bir uzlaştırılmış sistem ağı oluşturur.
Bu vekil işlevsellik, saldırganların kurban makineleri aracılığıyla trafiği yönlendirmesine izin vererek, gerçek kötü amaçlı ağ trafiğinin gerçek kaynağını gizlerken potansiyel olarak çeşitli yasadışı faaliyetleri kolaylaştırır.
Kötü amaçlı yazılımların kalıcılık mekanizması, OneStart tarayıcısının planlanan görev oluşturulması, sistem yeniden başlatıldıktan sonra bile devam eden çalışmayı sağlar.
Bu yaklaşım, saldırganların kullanıcı şüphesini veya güvenlik uyarılarını tetikleyebilecek acil, bariz kötü niyetli faaliyetler yürütmek yerine uzlaşılmış sistemlere uzun vadeli erişimi sürdürmeye odaklanmasını vurgulamaktadır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.