Araştırmacılar, XLoader kullanımı ve SharePoint bildirimlerinin kimliğine bürünme sayesinde karmaşık bir kötü amaçlı yazılım dağıtım kampanyasını tespit edebildiler.
Saldırının başlangıcında gönderilen e-postalarda meşru bir SharePoint bildirimi gibi görünen bir bağlantı yer alıyordu.
Motor, mesajı çeşitli faktörlere dayanarak kötü amaçlı olarak işaretledi: bilgisayar görüşü sahte bir Microsoft logosu ve sahte SharePoint şablonu tespit etti, LinkAnalytics hizmeti şüpheli yönlendirmeleri izledi ve bağlantılı dosyaları analiz için indirdi ve e-posta göndereni, SPF kimlik doğrulamasında başarısız oldu.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Bağlantıya tıkladıktan sonra kullanıcıya bir dizi hantal adım sunuldu ve indirilen dosya, AutoIT komut dosyasını içeren bir ZIP arşiviydi.
Komut dosyası çalıştırıldığında kabuk kodunu içeren başka bir arşivi indirdi ve bu arşiv daha sonra ntdll.dll gibi sistem kitaplıklarına çift referans içeren bir teknik kullanılarak meşru bir Windows işlemine (muhtemelen yansıtıcı DLL enjeksiyonu yoluyla) enjekte edildi.
Yeni eklenen süreç muhtemelen son yük olarak işlev gördü ve potansiyel olarak saldırganın Komuta ve Kontrol (C2) sunucusuyla bilgi hırsızlığı gibi daha fazla kötü amaçlı faaliyet için iletişim kurdu.
Sublime Security tarafından yapılan analiz, kötü amaçlı yazılım kampanyalarının gelişen taktiklerini, kimliğe bürünmeyle sosyal mühendisliği, gizleme ve komut dosyası oluşturmayla çok aşamalı teslimatı ve yük yürütme için süreç enjeksiyonunu vurguluyor.
Bu örneğin ilk AutoIT ve kabuk kodu bileşenleri, belgelenenlerle uyumlu olan Trickgate etkinliğinin güçlü göstergelerini sergiliyor.
Xloader dağıtımı ve AutoIT bileşeninde gözlemlenenlere oldukça benzer tekniklerin kullanılması da dahil olmak üzere hileli kapı taktikleri.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin