Kripto para birimini çalmak ve Windows sistemlerine ek kötü amaçlı yükler sunmak için birden fazla saldırı vektörünü birleştiren gelişmiş bir kötü amaçlı yazılım işlemi.
Yakın zamanda keşfedilen TinyLoader kötü amaçlı yazılım kampanyası, ağ paylaşımı sömürüsü, USB yayılımı ve aldatıcı kısayol dosyalarını içeren çok yönlü bir saldırı stratejisi aracılığıyla Windows kullanıcılarını aktif olarak hedefliyor.
Redline Stealer ve DCRAT dahil olmak üzere diğer tehlikeli tehditler için bir dağıtım mekanizması görevi gören kötü amaçlı yazılım, kripto para birimi hırsızlığı operasyonlarında önemli bir evrimi temsil eder.
IP adresinden şüpheli etkinlikleri araştıran güvenlik araştırmacıları 176.46.152.47 başlangıçta tek bir kötü niyetli ana bilgisayar gibi görünen ancak daha geniş bir uluslararası altyapının parçası olduğu ortaya çıktı.
Komuta ve Kontrol Ağı, hepsi Sanaline Technologies tarafından barındırılan Letonya, Birleşik Krallık ve Hollanda’daki sunucuları kapsar.
Soruşturmada, suç işlemlerini yönetmek için “Giriş – TinyLoader” gibi farklı HTML imzaları kullanan saldırganlarla birden fazla IP adresinde aktif Tinyloader panelleri ortaya çıktı.
Bu paneller, siber suçluların enfekte bilgisayarları izlediği, çalıntı kripto para birimini izledikleri ve kötü amaçlı yazılım dağılımını koordine ettiği merkezi merkezler olarak hizmet eder.
Çok Vektör Saldırı Stratejisi
TinyLoader, enfeksiyon oranlarını en üst düzeye çıkarmak ve hedeflenen sistemlerde kalıcılığı korumak için çeşitli sofistike yayılma yöntemi kullanır.
Bu temiz, fonksiyonel panel tasarımı, tehdit aktörlerinin çalınan verilerini verimli bir şekilde yönetme ve botnet faaliyetlerini koordine etmek için kullanılabilirliğe öncelik verdiği, hizmet olarak modern kötü amaçlı yazılım operasyonları için tipiktir.
Kötü amaçlı yazılım, “belgeler backup.lnk” etiketli ikna edici masaüstü kısayolları oluşturur ve resmi Windows simgeleri ve kullanıcıları kötü amaçlı kod yürütmek için kandırmak için “İçeriği Görüntüle” gibi açıklamalar.
Ağ tabanlı saldırılar için, kötü amaçlı yazılım, erişilebilir paylaşılan klasörler ve sürücüler için yerel ağları tarar.
Mevcut sistem izinlerini kullanarak, kendisini tüm kurumsal ağlara yayılan “Update.exe” olarak ağ paylaşımlarına kopyalar.
Bu yanal hareket yeteneği, TinyLoader’ı paylaşılan kaynakların yaygın olduğu kurumsal ortamlarda özellikle tehlikeli hale getirir.
Kötü amaçlı yazılım ayrıca çıkarılabilir medya cihazlarını da hedefler. Bir USB sürücüsü her bağlandığında, TinyLoader “Photo.jpg.exe” ve “Document.pdf.exe” gibi cazip adlarla birden fazla kez kopyalar.
Enfekte USB cihazı başka bir bilgisayara takıldığında, masum depolama cihazlarını enfeksiyon vektörlerine dönüştürdüğünde, kötü amaçlı yazılımları otomatik olarak başlatan otomatik yazılım dosyaları oluşturur.
Kurulduktan sonra TinyLoader, enfekte olmuş sistemlere uzun süreli erişimi sürdürmek için birden fazla teknik kullanır.
Kötü amaçlı yazılım, masaüstü ve belgeler klasörleri de dahil olmak üzere çeşitli dizinler arasında gizli kopyalar oluşturur ve her bir kopya normal tarama sırasında algılamayı önlemek için gizli olarak işaretlenir.
Kötü amaçlı yazılımın yönetici ayrıcalıkları kazandığı durumlarda, özellikle sinsi bir kayıt defteri değişikliği gerçekleştirir.
Metin dosyaları için Windows Dosya İlişkileri’ni ele geçirerek TinyLoader, bir kullanıcının herhangi bir .txt dosyasını her açtığında çalışmasını sağlar. Bu teknik, kalıcılığı rutin kullanıcı eylemlerine dönüştürür ve algılamayı son derece zorlaştırır.
Kripto para birimi hırsızlığı operasyonları
Kötü amaçlı yazılımın en tehlikeli özelliği, kripto para birimi hırsızlığı için gerçek zamanlı pano izlemeyi içerir.
İki Riga IP’si ardışık sayılardır, yani muhtemelen aynı sunucu bloğundan. Tespit ettiğimiz C2 trafiği ve bulduğumuz açık dizinler ile birleştiğinde, bunun iyi organize edilmiş bir işlem olduğu açıktır.
Gizli bir arka plan işlemi, algılamayı önlemek için minimal sistem kaynaklarını kullanırken değişiklikler için saniyede dört kez kontrol ederek pano aktivitesini sürekli olarak izler.
Kullanıcılar Bitcoin, Ethereum, Litecoin veya Tron için kripto para birimi adreslerini kopyaladıklarında, kötü amaçlı yazılım formatı anında doğrular ve meşru adresleri saldırgan kontrollü cüzdanlarla değiştirir.
Bu yedek, kullanıcıların fark edebileceğinden daha hızlı gerçekleşir, bu da fonları cezai hesaplara yönlendirirken işlemlerin meşru görünmesini sağlar.
Kötü amaçlı yazılım, kazaları veya diğer uygulamalarla çatışmaları önlemek için yerleşik güvencelerle pano içeriğini güvenli bir şekilde çıkarmak için Windows API’lerini kullanır.
Bu, hırsızlık sürecinin başarılı kripto para müdahalesi şansını en üst düzeye çıkarırken görünmez ve hatasız kalmasını sağlar.
Birincil hırsızlık yeteneklerinin ötesinde, TinyLoader ek kötü amaçlı yazılım aileleri için bir teslimat mekanizması olarak işlev görür.
Yürütme üzerine, sistemin geçici dizinine kaydedilen ve hemen yürütülen “Bot.exe” ve “ZX.EXE” adlı dosyalar dahil olmak üzere ikincil yükleri indirmek için önceden tanımlanmış altı saldırgan kontrollü URL ile iletişime geçer.
Bu yükler genellikle saldırganlara anahtarlama, ekran yakalama ve dosya hırsızlığı gibi kapsamlı sistem kontrol özellikleri sağlayan uzaktan erişim Truva atı olan DCRAT’ı içerir.
Kombinasyon, enfekte olmuş sistemleri aynı anda birkaç kötü amaçlı araç çalıştırabilen çok amaçlı saldırı platformlarına dönüştürür.
Hafifletme
Kuruluşlar, birkaç savunma önlemi uygulayarak Tinyloader enfeksiyonlarına karşı koruyabilir.
Ağ izleme, ilgili altyapıyı tanımlamak için HTML imzası “Giriş – TinyLoader” aramalarını içermelidir, güvenlik ekipleri ise 176.46.152.47, 176.46.152.46 ve 107.150.0.155 dahil olmak üzere bilinen kötü amaçlı IP adreslerini engellemelidir.
USB cihaz kısıtlamaları ve kapsamlı tarama politikaları, çıkarılabilir ortam yoluyla yanal hareketi önleyebilir.
Güvenlik ekipleri, ağ paylaşımlarında görünen “update.exe” gibi şüpheli dosyaları izlemeli ve kullanıcı dizinlerinde oluşturulan birden fazla yürütülebilir ürün için uyarılar oluşturmalıdır.
Bireysel kullanıcılar, işlemleri onaylamadan önce kripto para birimi cüzdanı adreslerini doğrulamalı ve yedekleme veya yardımcı program araçları olduğunu iddia eden masaüstü kısayollarından şüphelenmelidir.
Dosyaları açmadan önce USB sürücülerin düzenli olarak taranması, özellikle çift uzantılı belgeler olarak gizlenen yürütülebilir ürünler enfeksiyona karşı ek koruma sağlar.
Tinyloader operasyonu, saldırganların birden fazla teknikleri kapsamlı saldırı platformlarında birleştirdiği modern siber suçların gelişen doğasını temsil eder.
Kötü amaçlı yazılımların, kalıcı erişimi korurken ve kripto para birimini çalırken ağ paylaşımları, USB cihazları ve sosyal mühendislik yoluyla yayılma yeteneği, kuruluşların ve bireylerin karşılaştığı sofistike tehdit manzarasını göstermektedir.
Güvenlik araştırmacıları, bu keşfin benzer işlemleri engellemek ve kripto para birimi hırsızlığı saldırılarına karşı korumak için değerli zeka sağladığını vurgulamaktadır.
Tutarlı barındırma sağlayıcıları kullanırken birden fazla ülkeyi kapsayan altyapının koordineli doğası, eşit derecede koordineli savunma yanıtları gerektiren iyi organize edilmiş cezai operasyonlar önermektedir.
Kripto para birimi benimseme büyümeye devam ettikçe, TinyLoader gibi saldırılar, dijital varlıkları çalmak ve sistem güvenliğini tehlikeye atmak için tasarlanmış giderek daha karmaşık hale gelen kötü amaçlı yazılım işlemlerine karşı güçlü siber güvenlik uygulamalarını sürdürmenin ve kalan uyanık kalmanın kritik önemini vurgulamaktadır.
Tinyloader IOCS
| IP adresi | Şehir | Ülke | Asn |
|---|---|---|---|
| 107.150.0.155 | Londra | GB | AS214943 |
| 176.46.152.47 | Riga | LV | AS214351 |
| 77.90.153.62 | Kerkrade | NL | AS214943 |
| 176.46.152.46 | Riga | LV | AS214351 |
| Dosya adı | Dosya boyutu | Kötü amaçlı yazılım ailesi | Tanım |
|---|---|---|---|
| enjektör.exe.dcrat | 98 KB | Dcrat | Ana yük enjektörü bileşeni |
| c.exe.dcrat | 49 KB | Dcrat | Yapılandırma veya İletişim Modülü |
| index.php.dcrat | 16 B | Dcrat | Web tabanlı C2 iletişim komut dosyası |
| svchost.exe.dcrat | 65 kb | Dcrat | Meşru Windows Service Olarak Maskeli Varlıklar |
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.