Sublime’daki siber güvenlik uzmanları, kurbanları aldatmak için aciliyet kullanan bir bilgi stealer olan Trox Stealer etrafında dönen karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıkardı.
İlk olarak Aralık 2024’te tespit edilen bu kötü amaçlı yazılım, günlük tüketicilerden hassas verileri çıkarmak için tasarlanmış karmaşık bir saldırı zincirini vurgular.
Trox Stealer’ın başarısı, aciliyetin psikolojik taktikine bağlı olarak kurbanları eleştirel düşünceyi atlamaya teşvik ediyor.
.png
)
Saldırganlar, panik duygusu yaratan “yasal işlemden önce borcu çözmek için son fırsat” veya “Nihai Uyarı: Hesabınız İçin Bekleyen Yasal İşlem” gibi konularla acil sesli e-postalardan yararlanır.
Hizmet olarak kötü amaçlı yazılım (MAAS) platformları, saldırganlar tarafından büyük ölçekli saldırı kampanyalarının hızlı bir şekilde dağıtılmasını ve yinelemesini kolaylaştırır.
Trox Stealer, hızlı eylem kapasitesini göstererek birkaç gün özel kullanım için haftalık olarak lisanslandı.
Dağıtım mekanizması
Saldırganlar, Trox Stealer’ı kullanarak güvenlik şirketleri, üniversiteler ve güneş enerjisi şirketleri de dahil olmak üzere çeşitli sektörleri hedef aldı.
E-postalar, sözde yasal belgeleri indirmek için bir bağlantıya sahip HTML tarafından oluşturulan metin içeriyordu.
Bu bağlantı, saldırgan tarafından kontrol edilen bir alana yönlendirildi, burada ‘BorçCollectionCase #######. EXE’ olarak gizlenen kötü amaçlı yazılım barındırıldı.
URL, bir jeton kimliği içeriyordu ve indirmenin yalnızca bir kez gerçekleşmesini sağlayarak araştırmacıların dosyayı analiz için kolayca yeniden indirmelerini engelledi.
Teknik sofistike
Trox Stealer’ın kurulum süreci birkaç kaçaklama tekniği ile karakterizedir:
- İlk Teslimat: Birden fazla gizleme katmanına sarılmış Nuitka derlenmiş bir Python betiği, saldırganın alanından yürütülebilir bir Windows olarak indirilir.
- Uygulamak: İndirilen dosya, gömülü dosyaları geçici bir klasöre atar, ‘client_pdf_case_388.pdf’, bir tuzak belgesi ve bir node.js tercümanı olan ‘node700.exe’, enfeksiyonu korumak için komut dosyalarını daha da yürütür.
- WebAssembly: Kötü amaçlı yazılım, işlevselliğini gizlemek ve analizini engellemek için kapsamlı önemsiz kod kullanan Base64’te kodlanmış WebAssembly (WASM) kodunu kullanır.
Trox Stealer’ın arkasındaki altyapı, rutin sertifika yönetimi kalıcılığını sağlayan çeşitli alanlar ve IP adresleri içerir.
Rapora göre, Sublime’ın AI algılama motoru e -posta teslimat aşamasında bu saldırıları önlemede etkili olmuştur.
Bununla birlikte, Trox Stealer’ın karmaşıklığı, özellikle birden fazla programlama dili kullanımı ve kaçırma teknikleri, gelişen bir tehdit manzarasını vurgulamaktadır.
Siber güvenlik önlemleri, bu karmaşık tehditlerin önünde kalmak için yapay zeka ve gelişmiş analizleri entegre etmelidir. Trox stealer gibi kötü amaçlı yazılımların ortaya koyduğu riskleri azaltmada farkındalık ve uyanıklık şarttır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Tanımlayıcı | Değer |
|---|---|---|
| İhtisas | Borç Toplama-Uyumlar[.]com | |
| İhtisas | belgeler[.]Borç Toplama-Uyumlar[.]com | |
| İhtisas | Borç Toplama-Uyumlar[.]çevrimiçi | |
| İhtisas | Download.Debt-Collection-Experts[.]çevrimiçi | |
| İhtisas | Downloads.Debt-Collection-Experts[.]çevrimiçi | |
| İhtisas | Docs.Debt-Collection-Experts[.]çevrimiçi | |
| IP adresi | 89.185.82.34 – Bu kampanyanın operasyonlarının merkezinde | 89.185.82.34 |
| IP adresi | 172.22.117.177 – Kötü amaçlı yazılımdan sistem profilleri alır | 172.22.117.177 |
| Dosya karma | BorçCollectionCase #######. EXE (SHA256) | C404BAAD60FA3E6BB54A38AB2D736238CAA06AF877DA6794E0E4387F8F5F0C6 |
| Dosya karma | BorçCollectionCase #######. EXE (SHA1) | AE5166A8E17771D438D2D5E6496BEE948FCE80A4 |
| Dosya karma | BorçCollectionCase #######. EXE (MD5) | C568B578DA49CFCDB37D1E15A358B34A |
| Dosya karma | node700.exe (SHA256) | 12069E203234812B15803648160CC6AD1A56EC0E9CEBAF12BAD249F05DC782EF |
| Dosya karma | node700.exe (SHA1) | 29A13E190B6DD63E227A7E1561DE8EDBDEBA034B |
| Dosya karma | node700.exe (MD5) | F5f75c9d71a891cd48b1ae9c7c9f80d |
| Dosya karma | Trox Stealer (SHA256) | 5d7ed7b8300c94e44488fb21302a348c7893bdaef80d36b78b0e7f0f05df |
| Dosya karma | Trox Stealer (SHA1) | 6dea67690f9045528bc7dfed3c69d262bf24f6 |
| Dosya karma | Trox Stealer (MD5) | fedb7287bcccc256a8dad8aeace799f7 |
| E -posta | vpn@esystematics[.]ile ilgili | |
| E -posta | vpn@contactcorporate[.]ile ilgili | |
| E -posta | VPN@Evirtual-Provider[.]ile ilgili |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!