21 Haziran 2024’te, grupotefex.com’da barındırılan ve bir MSI yükleyicisini çalıştıran ve ardından kullanıcının AppData’sına bir Brute Ratel Badger DLL’si bırakan bir JavaScript dosyasını dağıtan kötü amaçlı bir kampanya ortaya çıktı.
Komuta ve kontrol çerçevesi Brute Ratel daha sonra gizli Latrodectus arka kapısını indirip yerleştiriyor. Bu arka kapı tehdit aktörlerine uzaktan kontrol, veri çalma ve daha fazla yük gönderme yeteneği sağlıyor.
Zscaler ThreatLabz, 23 Haziran’da Brute Ratel’in Latrodectus kötü amaçlı yazılım ailesi için ilk erişim aracısı olarak dahil olduğunu bağımsız olarak doğruladı.
Bir saldırgan, benzer bir alan adından (appointopia.com) gelen kullanıcıları sahte bir IRS web sitesine (hxxps://grupotefex.com/forms-pubs/about-form-w-2/) yönlendirmek için Bing arama sonuçlarını kullandı.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
Web sitesine tıklamak bir CAPTCHA zorluğunu tetikledi. Görünüşte zararsız olan CAPTCHA’yı çözmek, Google Firebase depolama kovasında barındırılan kötü amaçlı bir JavaScript dosyasının (Form_Ver-*.js) indirilmesiyle sonuçlandı ve bu da muhtemelen saldırının bir sonraki aşamasını başlattı.
.webp)
`Form_ver-14-00-21.js` adlı JS dosyasının analizi, tehdit aktörlerinin kötü amaçlı kodları görünüşte zararsız yorumlara gizlediği kötü amaçlı bir kod gizleme tekniğini ortaya çıkardı.
Dosya, ‘/////’ ile başlayan gizli kodu çıkarmak ve onu `new Function()` kullanarak yürütmek için bir ScriptHandler sınıfından yararlandı; bu da kötü amaçlı yükleri etkili bir şekilde gizler, dosya boyutunu şişirir ve antivirüs tespitinden kaçınır.
Ayrıca dosyanın geçerli bir kimlik doğrulama sertifikası içermesi, tehdit aktörünün aldatma niyetini vurgulayarak meşruiyetini artırıyor.
.webp)
`Form_ver-14-00-21.js` betiğinin tek amacının, 85.208.108.63 IP adresinden “BST.msi” adlı MSI’yi alarak ve kurulumunu başlatarak, belirtilen URL’lerden MSI paketlerini indirmek ve yürütmek olduğu ortaya çıktı.
25 Haziran’da gerçekleşen benzer bir olayda, farklı bir betik, yakından ilişkili bir IP olan 85.208.108.30’dan başka bir MSI olan “neuro.msi”yi indirmişti; bu da aynı kötü amaçlı yükleri taşıyan sistemleri hedef alan olası bir kampanyaya işaret ediyordu.
.webp)
Rapid7, neuro.msi adlı bir MSI dosyasını analiz etti ve bunun capisp.dll adlı bir DLL içeren bir dolap arşivi (disk1.cab) içerdiğini buldu.
MSI yükleyicisi ayrıca capisp.dll dosyasını kullanıcının AppData/Roaming klasörüne bırakan ve bunu rundll32.exe kullanarak “remi” adlı bir dışa aktarmayla çalıştıran özel bir eylem içeriyordu; bu da MSI paketinin capisp.dll dosyasını yüklediğini ve çalıştırdığını gösteriyor; büyük ihtimalle bu, “remi” dışa aktarma işleviyle ilgili bir amaç içindir.
.webp)
capisp.dll çok aşamalı bir kötü amaçlı yazılım bulaşma zincirini ortaya çıkarırken, VLC ile ilişkili DLL, sabit kodlanmış bir XOR anahtarı kullanılarak şifresi çözülen şifrelenmiş bir kaynak içeriyor.
Şifresi çözülen veriler, birden fazla C2 etki alanına bağlanan ve Explorer.exe’ye enjekte edilen ve birkaç ek C2 URL’siyle iletişim kuran Latrodectus kötü amaçlı yazılımını indiren paketlenmiş bir Brute Ratel Badger (BRC4) yükü için bir yükleyicidir.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo