Konaklama sektörü kuruluşlarını tehlikeye atmak için sosyal mühendislik aldatmacasını gelişmiş kaçırma teknikleriyle birleştiren PHALTBLYX adlı karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Saldırı zinciri, Booking.com’u taklit eden, büyük mali masrafların euro cinsinden gösterildiği acil rezervasyon iptali uyarılarını içeren kimlik avı e-postalarıyla başlıyor.
Bu mesajlar, mağdurları görsel olarak meşru hizmetle aynı görünen sahte Booking.com web sitelerine yönlendirerek kullanıcıların sahtekarlık işlemlerine ilişkin endişelerini istismar ediyor.
.webp)
Saldırı, geleneksel güvenlik kontrollerini atlayacak şekilde tasarlanmış, dikkatle düzenlenmiş bir dizi aşamadan geçerek ilerliyor. Kurbanlar sahte sayfadaki yenileme düğmesine tıkladıklarında, tarayıcıları tam ekran mavi ölüm animasyonu ekranını görüntülüyor.
Bu simüle edilmiş kilitlenme, kullanıcıların belirli klavye kombinasyonlarına basmayı içeren ekrandaki talimatları takip etmesini ister.
Securonix analistleri, kötü amaçlı yazılımın bir PowerShell komutunu sessizce panoya kopyaladığını ve kurbanların görüntülenen talimatları izlerken farkında olmadan bu komutu çalıştırdığını tespit etti.
.webp)
Securonix araştırmacıları, bu tıkla-düzel sosyal mühendislik yönteminin, saldırının dağıtım mekanizmasında kritik bir evrimi temsil ettiğini belirtti.
Teknik, otomatikleştirilmiş işlemler yerine manuel kullanıcı yürütmesine dayanır ve komut dosyasının yürütülmesini engelleyecek güvenlik kontrollerini etkili bir şekilde atlatır.
Kötü amaçlı PowerShell komutu, uzak sunuculardan bir MSBuild proje dosyası indirirken dikkat dağıtmak için meşru Booking.com yönetici sayfasını açmak da dahil olmak üzere çeşitli işlevler gerçekleştirir.
Enfeksiyon mekanizması
Bulaşma mekanizması, indirilen v.proj dosyasını yürütmek için Microsoft’un meşru MSBuild.exe derleyicisinden yararlanır; bu teknik, karadan yaşamak olarak bilinen bir tekniktir.
Bu yaklaşım, kötü amaçlı yazılımların güvenilir Windows yardımcı programları aracılığıyla proxy yürütmesine olanak tanır ve çoğu zaman uygulama beyaz listesi ve antivirüs tespitini atlar.
Kötü amaçlı yazılım, yürütüldükten sonra geniş dosya uzantısı hariç tutmaları ve belirli dizin hariç tutmaları ekleyerek Windows Defender’ı devre dışı bırakır ve sonraki yüklerin tespit edilmeden kalmasını sağlar.
Son yük, kapsamlı sistem güvenliği ihlallerine neden olabilecek bir uzaktan erişim truva atı olan DCRat’ın özelleştirilmiş bir çeşididir. RAT, meşru sistem yardımcı programları olarak gizlenen Windows başlangıç klasörüne yerleştirilen internet kısayol dosyalarını kullanarak kalıcılık sağlar.
.webp)
Kötü amaçlı yazılım, komuta ve kontrol sunucularına bağlanıldığında donanım kimliği, işletim sistemi ayrıntıları, yüklü antivirüs yazılımı ve etkin pencere başlıkları dahil olmak üzere kapsamlı sistem bilgilerini toplar.
Kötü amaçlı yazılımın yetenekleri arasında keylogging, aspnetcompiler.exe gibi meşru sistem ikili dosyalarına işlem enjeksiyonu ve ek kötü amaçlı yüklerin indirilmesi yer alıyor.
Kiril dilindeki eserlerin ve Rusça hata ayıklama dizelerinin varlığı, Rusça konuşan tehdit aktörlerinin güçlü bir göstergesidir. Kuruluşlar, benzer saldırıları tespit etmek ve önlemek için tıkla-düzel taktiklerine ilişkin sıkı kullanıcı farkındalığı eğitimi uygulamalı ve standart dışı dizinlerden kaynaklanan şüpheli MSBuild.exe yürütmelerini izlemelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
