Tehdit oyuncusu, cihazları vekillere dönüştürmek için PDF editörü Trojan’ı silahlandırıyor

Araştırmacılar, Expel Security’den yakın tarihli bir tehdit istihbarat bildirimine göre, algılamayı önlemek ve tehlikeye atılan makineleri kasıtsız konut vekillerine dönüştürmek için otantik kod imzalama sertifikaları kullanan truva yazılımı kullanan karmaşık bir kampanya keşfettiler.

Operasyon, “Glint Software Sdn. Bhd” nin kod imzalama imzasını taşıyan dosyalarla başlar.

Kötü amaçlı kod imzalama

Bu şemanın merkezinde, “ManualFinder” adlı bir Truva atının kurulumunu kolaylaştıran bir JavaScript damlası bulunmaktadır.

Bu damlalık, şüpheli davranış öyküsü olan bilinen bir sorunlu uygulama olan OneTart tarayıcısına bağlı kalıcı mekanizmalar aracılığıyla dağıtılır.

Kalıcılık, JavaScript dosyasını kullanıcının geçici dizininden yürüten ve kötü amaçlı yazılımların sistem yeniden başlatmalarında etkin kalmasını sağlayan planlanmış bir görevle gerçekleştirilir.

Etkinleştirildikten sonra JavaScript, MKA3E8 gibi komut ve kontrol (C2) alanlarına giden giden bağlantılar kurar[.]com ve y2iax5[.]com, imzalanmış manualfinder yürütülebilir dosyasını geri alır ve kurar.

Bu çok aşamalı enfeksiyon zinciri, saldırganların gizli ve güvenilirliğe odaklanmasını vurgular, uç nokta güvenlik kontrollerini ve kullanıcı incelemelerini atlamak için güvenilir sertifikalardan yararlanır.

Çift fonksiyonlu kötü amaçlı yazılım

Daha ileri analizler, ilgili yüklerin sinsi doğasını ortaya koymaktadır. İmzalı dosyalardan biri, iyi huylu bir PDF editörü olarak maskelenir, ancak tehlikeye atılan cihazı bir konut proxy düğümüne gizlice yeniden yapılandıran truva özelliklerini taşır.

Bu dönüşüm, tehdit aktörlerinin kurbanın IP adresi aracılığıyla kötü niyetli trafiği yönlendirmesine izin verir, operasyonlarını etkili bir şekilde anonimleştirirken, potansiyel olarak enfekte kullanıcıyı yasadışı faaliyetlere dahil eder.

Manualfinder uygulaması, kontrollü bir sanal alan ortamında yürütüldüğünde, kendisini, kullanıcıların işlevsel arama özellikleriyle tamamlanması için ürün kılavuzlarını bulmalarına yardımcı olmak için tasarlanmış meşru bir yardımcı program olarak sunar.

Bununla birlikte, dağıtım bağlamı alarmlar yükseltir: Herhangi bir doğrudan indirme seçeneği sunmadan ücretsiz bir araç olarak tanıtım yapan ilişkili web sitesine rağmen, OneTart tarayıcısı aracılığıyla istemsiz olarak yüklenir.

Bu tutarsızlık, kötü amaçlı yazılımları paketlenmiş veya kaçırılmış yazılım kanalları aracılığıyla dağıtmak için kasıtlı bir strateji önermektedir ve OneStart’ın kabataslak uygulamalar için yerleşik üne sahip.

Rapora göre, Expel’in soruşturması, böyle bir çift amaçlı kötü amaçlı yazılımın kötülükle nasıl karıştığını vurgulayarak iyi huylu cephenin hem kullanıcıları hem de otomatik tarayıcıları aldatabileceği için tespit çabalarını karmaşıklaştırıyor.

Genel kampanya, saldırganların günlük üretkenlik araçlarını silahlandırdığı ve bunları dağıtılmış hizmet reddi saldırıları, veri eksfiltrasyonu veya anonimleştirilmiş siber casusluk gibi faaliyetleri destekleyen proxy ağları için vektörlere dönüştürdüğü gelişen bir tehdit manzarasını yansıtıyor.

Bu Truva atının sonuçları, kod imzalama altyapısının kötüye kullanılmasını ve kalıcı, düşük profilli enfeksiyonların izlenmesindeki zorlukları gösterdiği için siber güvenlik profesyonelleri için önemlidir.

Kuruluşlara yazılım imzalarını incelemeleri, anormal JavaScript uygulamaları için planlanan görevleri izlemeleri ve riskleri azaltmak için bilinen C2 alanlarını engellemeleri tavsiye edilir.

Cihazları vekillere dönüştürerek, saldırganlar sadece altyapılarını genişletmekle kalmaz, aynı zamanda kurbanları yasal ve itibar tehlikelerine maruz bırakarak güçlü tehdit avı ve uç nokta koruma stratejilerine duyulan ihtiyacı vurgularlar.

Uzlaşma Göstergeleri (IOCS)

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!