Yeni CHAVECLOAK Kötü Amaçlı Yazılım Windows'u PDF Dosyasıyla Hackledi

   Mart 6, 2024  Posted in CyberSecurityNews


Haberler CHAVECLOAK Kötü Amaçlı Yazılım, Silahlandırılmış PDF Dosyası Aracılığıyla Windows'u Hackledi

Tehdit aktörlerinin, Brezilya'daki kullanıcıları hedef almak için CHAVECLOAK bankacılık truva atını dağıtmak için yeni bir teknik kullandıkları keşfedildi.

Bu truva atı, finansal faaliyetlerle ilgili hassas bilgileri çalma yeteneğine sahiptir.

Saldırı vektörü, ZIP dosyasını indiren ve son kötü amaçlı yazılımı yürütmek için DLL yan yükleme tekniklerini kullanan, PDF dosyası içeren kötü amaçlı bir e-posta kullanır.

Bu kötü amaçlı yazılımın Komuta ve Kontrol sunucusu telemetrisi, trafiğin çoğunun Brezilya'dan geldiğini gösteriyor.

CHAVECLOAK'ın saldırı akış vektörü (Kaynak: Fortinet)

CHAVECLOAK Kötü Amaçlı Yazılım Windows'u Hackledi

Fortinet tarafından paylaşılan raporlara göre, bu bankacılık truva atının ilk saldırı vektörü, e-postadaki bağlantı kullanılarak imzalanması gereken bir sözleşmeyle ilgili ekin belirtildiği bir kimlik avı e-postasını içeriyor.

Kimlik avı e-postası (Kaynak: Fortinet)

Bu bağlantı, kötü amaçlı bir ZIP dosyasının indirildiği bir sunucuya işaret eden ücretsiz bir URL bağlantı kısaltma hizmeti olan “Goo.su” kullanılarak oluşturulmuştur.

Bu ZIP, “NotafiscalGFGJKHKHGUURTURTF345.msi” MSI dosyasını içerir.

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN'u şirketinize entegre edin

Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:

  • Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
  • Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
  • Bir takımda çalışın
  • Maksimum veriyle ayrıntılı raporlar alın

    • Tüm bu özellikleri şimdi sandbox'a tamamen ücretsiz erişimle test etmek istiyorsanız: ..

MSI Yükleyici

ZIP dosyasının sıkıştırması açıldığında kötü amaçlı “NotafiscalGFGJKHKHGUURTURTF345.msi” ayıklanıyor. MSI dosyasının sıkıştırılması, MSI yükleyicisinin içeriğini daha da gösterir.

MSI yükleyicisi, “Lightshot.dll” adlı bir DLL dosyasının yanı sıra birden fazla TXT dosyası içerir.

MSI yükleyicisinin içeriği (Kaynak: Fortinet)

MSI dosyasındaki diğer dosyaların değişiklik tarihleriyle karşılaştırıldığında bu DLL dosyası en son tarihe sahiptir, bu da yakın zamanda değiştirildiği anlamına gelir.

Daha ileri analizler, tüm konfigürasyonun Portekizce yazıldığını ortaya çıkardı.

Yüklendiyse, MSI bu dosyaları “%AppData%\Skillbrains\lightshot\5.5.0.7” klasörüne bırakır.

“Lightshot.exe” EXE dosyası da, kötü amaçlı DLL “Lightshot.dll” dosyasının yürütülmesini etkinleştirmek için DLL yan yükleme tekniğini kullanan belirtilen klasöre bırakılır.

Ayrıca, bu kötü amaçlı DLL, ele geçirilen sistemden hassas bilgilerin çıkarılmasını gerçekleştirir.

CHAVECLOAK Bankacılık Truva Atı “Lightshot.dll”

Bu bankacılık truva atı, belirtilen kök dizinden birim ve dosya sistemi bilgilerinin toplanması da dahil olmak üzere birden fazla işlem gerçekleştirir.

Kötü amaçlı yazılımın otomatik yürütülmesini başlatmak için, kayıt defteri değerine “Lightshot.exe” eklenir ve bu, DLL yan yükleme saldırısı nedeniyle kötü amaçlı yazılımı tetikler.

Bu, güvenliği ihlal edilen sisteme kalıcı erişim sağlar. Bundan sonra “hxxp://64” adresine HTTP sunucu isteği yapılır.[.]225[.]32[.]24/shn/inspecionando.php”, sistemin coğrafi konumunun kurbanın Brezilya'da olup olmadığı doğrulandığı yerdir.

CHAVECLOAK, ele geçirilen sistemler üzerinde kurban ekranını engellemek, tuş vuruşlarını günlüğe kaydetmek, yanıltıcı açılır pencereler vb. gibi çeşitli eylemler gerçekleştirir.

Ek olarak kötü amaçlı yazılım, kurbanın bankalar ve Bitcoin'ler de dahil olmak üzere belirli finansal portallara yönelik faaliyetlerine de odaklanıyor.

Uzlaşma Göstergeleri

IP

URL'ler

  • hxxps://webattach.mail.yandex.net/message_part_real/NotaFiscalEsdeletronicasufactrub66667kujhdfdjrWEWGFG09t5H6854JHGJUUR[.]zip
  • hxxps://goo[.]su/FTD9owO

Ana makine adları

  • Maria şovu[.]ddn'ler[.]açık
  • toplulukbet20102[.]hopto[.]kuruluş

Dosyalar:

  • 51512659f639e2b6e492bba8f956689ac08f792057753705bf4b9273472c72c4
  • 48c9423591ec345fc70f31ba46755b5d225d78049cfb6433a3cb86b4ebb5a028
  • 4ab3024e7660892ce6e8ba2c6366193752f9c0b26beedca05c57dcb684703006
  • 131d2aa44782c8100c563cd5febf49fcb4d26952d7e6e2ef22f805664686ffff
  • 8b39baec4b955e8dfa585d54263fd84fea41a46554621ee46b769a706f6f965c
  • 634542fdd6581dd68b88b994bc2291bf41c60375b21620225a927de35b5620f9
  • 2ca1b23be99b6d46ce1bbd7ed16ea62c900802d8efff1d206bac691342678e55

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, ortalığı kasıp kavurabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan





Source link