Siber suçlular, Truva atlarının indirilmesine izin veren kötü amaçlı kod barındırmak için eFile.com’u ele geçirdi.
Birkaç güvenlik araştırmacısına göre ve BleepingComputer tarafından doğrulanan vergi iadeleri için IRS onaylı elektronik dosyalama hizmeti eFile.com, son birkaç hafta içinde birkaç kötü amaçlı JavaScript (JS) dosyası sunarken yakalandı. Bu güvenlik olayının yalnızca eFile.com ile ilgili olduğunu, IRS’nin e-dosya altyapısı ve benzer görünen diğer etki alanlarıyla ilgili olmadığını unutmayın.
Bu yazı itibariyle, eFile.com temiz. Kullanıcılar endişelenmeden erişebilirler.
Saldırı 18 gün önce başladı
Olay, ilk olarak web sitesinde bir sorun olabileceği ihtimali olarak ortaya çıktı. Bir Reddit kullanıcısı, www.efile.com’a erişirken sahte bir “Ağ Hatası” sayfasıyla karşılaştı. Sayfa, aşağıda gösterildiği gibi, ziyaretçilere tarayıcılarının “desteklenmeyen bir protokol kullandığını” ve tarayıcılarını güncellemek için kendilerine sağlanan bağlantıya tıklamaları gerektiğini bildirdi; bu, dolandırıcıların sıklıkla kullandığı bilinen bir taktiktir.
Bu sahte hata mesajı, etki alanını ziyaret ederken geliyordu. Alışılmadık bir şekilde, ziyaretçilere tarayıcılarını güncellemelerini söyledi. Bu, Reddit kullanıcılarının alanın ele geçirildiğinden şüphelenmesine neden oldu. (Kaynak: /u/SaltyPotter, orijinal görüntü sığacak şekilde kırpılmıştır)
Ancak bu bir aldatmaca değildir.
Siber güvenlik alanında MalwareHunterTeam (@malwarehunterteam) ve Johannes Ullrich (@johullrich) SANS, potansiyel site uzlaşmasının rüzgarını yakaladı ve her biri kendi analizini yazarak kazdı.
her ikisine göre Kötü Amaçlı Yazılım Avcısı Ekibi ve Ullrich adlı hatalı biçimlendirilmiş bir JS dosyası popper.js şifrelenmiş kötü amaçlı kod içerir; yani açıkça okunamaz. Amacı, adlı başka bir JS betiği yüklemektir. güncelleme.js bir Amazon Web Services (AWS) sitesinde barındırılmaktadır. güncelleme.js sahte hata sayfasını görüntülemek için kullanılan kodu içerir.
popper.js kötü niyetli görevleri yapmak için değiştirilmiş meşru bir dosyadır. eForm web sitesindeki hemen hemen her sayfa onu yüklediğinden, bahsettiğimiz kötü niyetli etkinlikler, bir kullanıcı herhangi bir site sayfasını her ziyaret ettiğinde tetiklenir.
güncelleme.js ayrıca her ikisi de kötü amaçlı etki alanında sunulan iki sabit kodlanmış indirme URL’si içerir infoamanewonliag[.]çevrimiçi. İki yük, ziyaretçilerin tipik olarak kullandığı Chrome ve Firefox olmak üzere iki belirli tarayıcı içindir.
Ullrich, “Farklı tarayıcılar farklı yükler alıyor” diyor. Chrome kullanıcıları, Sichuan Niurui Science and Technology’den geçerli bir imza içeren “update.exe” adlı bir yük alır. Firefox kullanıcıları “installer.exe”yi alır. Chromium (Chrome’un temel aldığı yer) veya Quantum (Firefox’un temel aldığı yer) tabanlı tarayıcıların da yükleri alıp alamayacağına dair bir gösterge yok.
BleepingComputer, yüklerin Çin’de Alibaba tarafından barındırılan bir IP adresine bağlandığını bağımsız olarak onayladı. Aynı IP, yüklerin indirildiği yasa dışı etki alanını da barındırır.
Bu yürütülebilir dosyalar Python’da yazılmıştır. Malwarebytes onları şu şekilde algılar: Trojan.Downloader.Python.
Çarşamba itibariyle, popper.js kötü amaçlı kod içermez.
Arka kapı
Kullanıcılar yükü çalıştırdıktan sonra, bir PHP betiği arka planda sessizce çalışır. BleepingComputer’ın analizi, her 10 saniyede bir arka kapı betiğinin, etkilenen sistemde gerçekleştirilecek bir veya daha fazla görevi almak için bir uzak komut ve kontrol (C2) sunucusuna bağlandığını gösteriyor. Bunlara “bir komutun çalıştırılması ve çıktısının saldırganlara geri gönderilmesi veya bilgisayara ek dosyalar indirilmesi” dahildir.
Arka kapı karmaşık değildir, ancak saldırganların şirkete ait cihazlar da dahil olmak üzere tüm sisteme erişmesini sağlamak için yeterlidir.
BleepingComputer, “Saldırının herhangi bir eFile.com ziyaretçisine ve müşterisine başarılı bir şekilde bulaşıp bulaşmadığı da dahil olmak üzere bu olayın tam kapsamı henüz öğrenilmedi” diyor.
Malwarebytes, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE