Kavram kanıtı gösterilerinin ötesinde FileFix saldırılarının ilk belgelenmiş gerçek dünyadaki konuşlandırılmasını temsil eden sofistike yeni bir kampanya.
Bu kampanya, sosyal mühendislik taktiklerinde önemli bir evrimi işaret ederek ileri steganografik teknikleri, kötü şöhretli ClickFix metodolojisine dayanan yenilikçi bir saldırı vektörü aracılığıyla STEALC bilgi stealer’ı sunmak için çok katmanlı gizlemeyle birleştiriyor.
Acronis’in Tehdit Araştırma Birimi’nden araştırmacılar, ClickFix/FileFix Kimlik Yardım Saldırılarında sosyal mühendislik cazibesi olarak kullanılan sahte bir Google Chrome hata mesajını ortaya çıkardılar.
FileFix’in ortaya çıkışı, güvenlik araştırmacılarının toplu olarak “*düzeltme” saldırıları olarak adlandırılan ve son aylarda hızla çoğalmış olan diğer varyantları içeren “*düzeltme” saldırıları olarak adlandırılan en son ilerlemeyi temsil eder.
Bu saldırılar temelde kurbanları kendi sistemleri aracılığıyla kötü niyetli komutlar yürütmek için kandırmak için sosyal mühendisliğe güvenerek, kullanıcıları etkili bir şekilde kendi uzlaşmalarında farkında olmayan suç ortaklarına dönüştürmektedir.
ClickFix saldırıları patlayıcı büyüme yaşadı, olaylar son aylarda% 500’den fazla arttı.
Teknik genellikle bir captcha doğrulama süreci olarak maskelenir, kullanıcılara Windows Run iletişim kutusunu açmak için Win+R tuşlarına basmalarını, Ctrl+V ile sözde zararsız bir komut yapmasını ve yürütmesini söyler.
Bu saldırı vektörünün görünüşte imkansız doğasına rağmen, etkinliği, emtia bilgi çalıcılarından uzaktan erişim truva atlarını konuşlandıran ulus devlet operasyonlarına kadar çok sayıda kampanyada gösterilmiştir.
FileFix, terminal erişimi yerine HTML dosya yükleme işlevselliğini kullanarak geleneksel ClickFix metodolojisinden ayrılır.
Mağdurlar standart bir dosya yükleme düğmesi gibi görünen şeylerle etkileşime girdiğinde, bir Dosya Gezgini penceresi sunulur.
Saldırı, sosyal mühendisler kullanıcıları, makinelerinde yerel olarak yürütülen bu pencerenin adres çubuğuna kötü niyetli komutlar yapıştırmaya çalışır.
Bu yaklaşım, kurumsal ayarlarda kısıtlanabilecek terminal erişiminin aksine, dosya yükleme pencereleri kullanıcı ortamlarında evrensel olarak erişilebildiğinden, geleneksel ClickFix saldırılarına göre potansiyel avantajlar sunar.
Gelişmiş kimlik avı altyapısı
Keşfedilen kampanya, ikna edici bir Facebook güvenlik sayfası simülasyonu etrafında merkezlenmiş titizlikle hazırlanmış bir kimlik avı altyapısı kullanıyor.
Saldırı muhtemelen Facebook güvenlik bildirimleri olarak maskelenen kimlik avı e -postaları ile başlar ve alıcıları yaklaşan hesap askıya alma konusunda uyarır ve bunları iyileştirme için kötü amaçlı siteye yönlendirir.
Kimlik avı alanına ulaştıktan sonra, mağdurlar acil bir senaryo ile karşılaşır: hesapları bildirildi ve yedi gün içinde askıya alınır ve 180 günlük eylemsizlikten sonra kalıcı silme tehdit edilir.
Site, Meta’nın ekibinin temyiz talimatları içeren bir PDF dosyası paylaştığını iddia ederek derhal bir itiraz seçeneği sunar. Bu fabrikasyon belgeye erişmek için kullanıcılara “Dosya Explorer’ı açmaları” ve verilen dosya yolunu yapıştırmaları talimatı verilir.
Sosyal mühendislik, tanıdık kullanıcı davranışlarından yararlandığı için özellikle etkilidir. Birçok kullanıcı hiç bir Terminal penceresine erişmemiş olsa da, neredeyse herkes dosya yükleme işlevini kullanmıştır.
Bu aşinalık, Facebook güvenlik bağlamının acil tonu ve görünür meşruiyeti ile birleştiğinde, kullanıcı uyumluluğu için zorlayıcı bir senaryo oluşturur.
PowerShell, Windows Kayıt Defteri Manipülasyonu, Bellek Enjeksiyonu ve Script Tabanlı Yöntemleri içeren yaygın kötü amaçlı yazılım saldırısı teknikleri
Kimlik avı sitesi, kapsamlı JavaScript gizleme ve anti-analiz önlemleri ile dikkate değer teknik gelişmişlik göstermektedir.
Başlangıçta yaklaşık 18.000 satırdan oluşan kötü amaçlı kod, analiz çabalarını önemli ölçüde karmaşıklaştırarak sadece 12 satır halinde madenlendi.
Değişkenler ve işlev adları rastgele harf kombinasyonlarından oluşur, kod komut dosyası boyunca parçalanır ve ölü kod birden fazla yanlış yönlendirme noktası oluşturur.
En önemlisi, site Arapça, Rusça, Hintçe, Lehçe, Almanca, İspanyolca, Fransızca, Malay ve Urduca dahil olmak üzere 16 dile çevirilerle çok dilli desteği içeriyor.
Bu kapsamlı yerelleştirme küresel bir hedefleme stratejisini gösterir ve saldırı altyapısı gelişimine önemli yatırımı temsil eder.
Kampanya analizi, her biri farklı yükler, teknikler ve sosyal mühendislik varyasyonları içeren iki haftalık bir süre içinde aktif olan birden fazla site varyantını ortaya koymaktadır.
Bu hızlı yineleme, kampanya etkinliğini en üst düzeye çıkarmaya kendini adamış sofistike bir tehdit aktörünü gösteren saldırı metodolojisinin sürekli iyileştirilmesini ve optimizasyonunu önermektedir.
Steganografik yük teslimatı
Saldırının en yenilikçi yönü, görünüşte iyi huylu JPG görüntülerinde kötü niyetli bileşenleri gizlemek için steganografi kullanımını içerir.
Son iki hafta içinde yükün evrimini gözlemlediğimiz gibi, saldırganın kontrol ettikleri kötü amaçlı alanlardan hareket ettiğini görüyoruz,[.]com, öncelikle Bitbucket’te barındırma.
Filefix mekanizması aracılığıyla teslim edilen ilk yük, birkaç gelişmiş kaçaklama tekniği gösteren yoğun bir şekilde gizlenmiş bir PowerShell komutundan oluşur:
Komut, tüm sınıfları ve ad alanlarını, yürütme sırasında yeniden monte edilen ayrı değişkenlere dönüştürerek tespit kaçınmasını önemli ölçüde iyileştirir.
Meşru bir dosya yolunun yanılsamasını korumak için, saldırganlar geniş bir beyaz alanı ve ardından sahte bir PDF yolu içeren bir değişken ekler ve kötü niyetli komutları gizlerken adres çubuğunda yalnızca iyi huylu yolun görünmesini sağlar.
Komut gizleme için “#” sembolünü kullanan tipik ClickFix saldırılarının aksine, bu yaklaşım değişken manipülasyon kullanır ve potansiyel olarak geleneksel tıklama desenlerini tanımlamak için yapılandırılmış algılama sistemlerini atar.
Yük boyutu, gömülü baz64 kodlama ve değişken parçalanma teknikleri nedeniyle tipik ClickFix komutlarını önemli ölçüde aşar.
Son kampanya yinelemeleri, sabit kodlu tuşlarla XOR işlemleri aracılığıyla URL şifrelemesini tanıttı, şifreli URL’ler altı bayt olarak saklandı ve çalışma zamanı sırasında şifreli.
Saldırı ayrıca saldırgan tarafından kontrol edilen alanlardan Bitbucket barındırmasına göç ederek altyapı yönetimi yükünü azaltırken kaçırma yeteneklerini daha da artırdı.
Enfeksiyon zinciri, steganografik ekstraksiyonla başlayan sofistike çok aşamalı bir mimari kullanır.
İlk yük, kurbanın geçici dizinine AI tarafından üretilen peyzaj görüntülerini-çayırlardaki evler veya salyangoz fotoğrafçılığı gibi sahneleri parçalamak-indirir.
Görüntü dosyası içinde düz metin halinde saklanan ikinci aşama komut dosyası, RC4 şifresini çözme ve GZIP dekompresyon işlevleri oluşturur. Hem DLL hem de yürütülebilir formatları destekleyen tek görüntülerden birden fazla dosya çıkarabilir.
Çıkarılan her exe dosyası, 12 dakika sonra otomatik silme işleminden önce conhost.exe aracılığıyla yürütülürken, kurban sahte bir “Dosya açamıyor!” aldatmayı koruyan hata mesajı.
STEALC Bilgi Stealer
Nihai yük, sanal makine algılama özelliklerini ve kapsamlı dize şifrelemesini içeren Go’da yazılmış sofistike bir yükleyiciden oluşur.
Yükleyici, VM ve Sandbox ortamları ile yaygın olarak ilişkili grafik kartı adlarının bir blok listesini çözerek temel sanal alan algılamasını gerçekleştirir, ardından EnumdisplayDevicesa işlev çağrılarından sistem grafik cihazlarını sorgular.
String Obfuscation, çalışma zamanı sırasında enumDisplayDevicesa ve NTallocateVirtualMemory gibi API referanslarını şifrelemek ve depolamak için özel işlevlerle tüm API çağrı adlarına uzanır.
İlginç bir şekilde, şifre çözme işlevi adlarının kendileri şifrelenmemiş olarak kalır, bu da devam eden gelişme ve potansiyel gelecekteki geliştirmeyi düşündürmektedir.
Başarılı ortam validasyonu üzerine, yükleyici, kapsamlı veri kategorilerini hedefleyen yetenekli bir bilgi çalma olan STEALC’yi dağıtan kabuk kodunu çözer ve yürütür.
Stealc, Chrome, Firefox, Opera, Internet Explorer, Tencent QQ, Quark, UC tarayıcı, Sogo Explorer ve Maxthon gibi çok sayıda tarayıcıdan kimlik bilgisi hasatını dener.
Kripto para birimi cüzdan hedefleme, bitcoin, dogecoin, kuzgun, daedalus, mainnet, blockstream, calletwasabi, ethereum, elektrum varyantları, defter canlı, Çıkış, Electroncash, Multidoge, Jaxx Liberty, Atomik Cüzdan, Binance, Coinomi ve Guarda’yı kapsar.
Ek hedefler arasında Thunderbird, Telegram ve Discord gibi mesajlaşma platformları, OpenVPN ve ProtonVPN dahil VPN uygulamaları, Ubisoft Game Launcher and Battle.net gibi oyun platformları, ayrıca Azure ve AWS için bulut hizmeti kimlik bilgileri.
Virustotal Gönderme Analizi, ABD, Bangladeş, Filipinler, Tunus, Nepal, Dominik Cumhuriyeti, Sırbistan, Peru, Çin, Almanya ve diğer yerlerden sunulan ilgili dosyalar ve kimlik avı siteleriyle küresel kampanya kapsamını göstermektedir. Çok dilli saha desteği ile birleştiğinde, bu coğrafi dağıtım uluslararası hedefleme niyetlerini doğrulamaktadır.
Kampanyanın iki haftadaki hızlı evrimi sürekli arıtma çabaları göstermektedir. İlk saldırılar, tam ekstraksiyon ve şifre çözme komut dosyaları içeren tek aşamalı PowerShell yükleri kullandı ve mevcut iki aşamalı mimariye dönüşerek birden fazla yürütülebilir ve DLL damlası desteği ile.
Son yinelemeler, temel saldırı metodolojisini korurken Bitbucket’te barındırılan .log dosyalarından birinci aşama komut dosyalarının yüklenmesini tanıttı.
Yürütülebilir yük yükü evrimi, OLLVM ile takas edilmiş ikili dosyalardan mevcut GO tabanlı kabuk kodu yükleyicilerine ilerlemeyi gösterir ve bu da devam eden teknik gelişimi gösterir. Sosyal mühendislik bahaneleri, bazı eski dil kalıntıları hızlı kalkınma döngüleri önermesine rağmen, hesap silme önleme için kimlik yükleme gereksinimlerinden ihlal belgeleri görüntülemesine dönüştü.
Hafifletme
Bu kampanya, *saldırı evriminde önemli bir kilometre taşını temsil ederek, kavram kanıtı tekniklerinin sofistike tehdit vektörlerine nasıl olgunlaşabileceğini gösteriyor.
Filefix sosyal mühendisliği, steganografik gizleme, çok aşamalı gizleme ve ileri kaçış tekniklerinin birleşimi, geleneksel güvenlik kontrolleri için zorlu bir zorluk yaratır.
Saldırının başarısı, kullanıcı eğitiminin sosyal mühendislik taktikleri, özellikle de dosya yüklemeleri gibi tanıdık sistem işlevlerini kullananlara yönelik kritik önemini vurgulamaktadır.
Kuruluşlar, özellikle saldırı metodolojilerini düzeltmek ve gizlenmiş PowerShell yürütme ve steganografik yük sunumu için güncellenmiş algılama yeteneklerini koruyan kapsamlı güvenlik farkındalık eğitimi uygulamalıdır.
Filefix teknikleri geleneksel ClickFix yöntemlerinin yanı sıra gelişmeye devam ettikçe, güvenlik ekipleri, teknik kontrolleri atlamak ve ilk erişim ve yük teslimatı için insan psikolojisini kullanacak şekilde meşru sistem işlevselliğini kullanan giderek daha karmaşık hale gelen sosyal mühendislik kampanyalarına hazırlanmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.