Emansrepo, Ağustos 2024’te FortiGuard Labs tarafından keşfedilen ve sahte satın alma siparişleri ve faturalar içeren kimlik avı e-postaları aracılığıyla yayılan bir Python bilgi hırsızıdır.
Kasım 2023’te faaliyete geçen Emansrepo, kurbanların tarayıcı dizinleri ve belirli dosya dizinlerinden oluşan sızdırılmış verileri alıyor, bunları bir zip dosyasına paketliyor ve saldırganın e-postasına gönderiyor.
Fortinet’teki siber güvenlik araştırmacıları yakın zamanda Emansrepo adlı yeni kötü amaçlı yazılımın HTML dosyalarını Windows kullanıcılarına saldırmak için silah olarak kullandığını tespit etti.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Emansrepo Kötü Amaçlı Yazılım HTML Dosyalarını Silahlandırıyor
Bunun dışında, PyInstaller ile oluşturulan zararlı yazılımın dağıtılması ve HTML indirmelerine ekli yönlendirme yapılması yoluyla Python kullanmayan kullanıcıları hedeflemek de mümkündü.
Ancak Temmuz – Ağustos 2024’e gelindiğinde saldırı zinciri değişmiş ve Emansrepo aşaması, farklı çalıntı veri dosyaları için Emansrepo öncesi indirme ve yan e-posta kullanımını içeren bir dizi saldırı adımını kullanmaktadır.
Bu özel kampanya için, hem saldırı akışı hem de veri çıkarmada kullanılan araçlar açısından yoğun bir evrimin yaşandığı görülebilir.
.webp)
Ek, üç enfeksiyon zincirine dayanan karmaşık bir çok aşamalı dropper içeriyor. Zincir 1, teslim edildiği sırada AutoIT tarafından derlenen bir yürütülebilir dosya (Purchase-Order.exe) içeren 7z arşivinin sahte bir indirme sayfasına kullanıcıyı kandırıyor.
Forinet, daha sonra bu çalıştırılabilir dosyanın ilerlediğini ve bilgi çalan kötü amaçlı tester.py betiğiyle birlikte bazı Python modüllerini içeren preoffice.zip dosyasını alıp çıkardığını söyledi.
Chain 2, script.ps1 adlı bir PowerShell betiğini elde etmek ve çalıştırmak için kullanılan, yerleşik Javascript içeren bir HTA dosyası kullanır; bu betik aynı zamanda preoffice.zip’i çıkarır ve run.bat ile Emansrepo’yu çalıştırır.
Zincir 3, PowerShell’de script.ps1’i içeren ve betiği indirme ve çalıştırma amacıyla kullanılan, kimlik avı e-postasından elde edilen BatchShield ile gizlenmiş bir toplu iş dosyasıyla başlar.
Tüm bu zincirlerin birleştirici yönü, veri sızdırma amacıyla Python dilinde yazılmış kötü amaçlı yazılımların kullanılmasıdır.
Emansrepo bilgi hırsızı üç aşamada çalışır:
- Anahtar dizinlerden kullanıcı verilerini, oturum açma kimlik bilgilerini, kredi kartı bilgilerini, web/indirme geçmişini, otomatik doldurma verilerini ve küçük metin dosyalarını (<0,2 MB) toplama.
- PDF’leri (<0,1 MB) çıkarma, tarayıcı uzantılarını, kripto cüzdanlarını ve oyun platformu verilerini sıkıştırma.
- Tarayıcı çerezlerini sızdırma. Veri depolama için geçici klasörler kullanır ve sızdırma sonrası bunları siler.
Kötü amaçlı yazılım, Kasım-Aralık 2023 arasında Prysmax tabanlı bir versiyondan (hash: e346f6b36569d7b8c52a55403a6b78ae0ed15c0aaae4011490404bdb04ff28e5) daha gelişmiş bir versiyona (hash: ae2a5a02d0ef173b1d38a26c5a88b796f4ee2e8f36ee00931c468cd496fb2b5a) evrildi.
.webp)
Bağlantılı bir kampanya, DBatLoader kullanılarak kimlik avı amaçlı dağıtılan Remcos’u kullanıyor.
Remcos’un bu yoğun örneği bile bir saldırı olarak sınıflandırılabilir ve saldırı vektörlerinin bu şekilde dönüştürülmesi, güçlü siber güvenlik önlemlerine olan kritik ihtiyacı vurgular.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!