Kötü amaçlı yazılım yükleyicileri (ayrıca bırakıcılar veya indiriciler olarak da bilinir), yeraltı suç dünyasında popüler bir üründür. Birincil işlevleri, bir makineyi başarıyla tehlikeye atmak ve bir veya daha fazla ek yükü dağıtmaktır.
İyi bir yükleyici, tespit edilmeyi önler ve diğer kötü amaçlı yazılımları göndermeden önce kurbanları meşru (yani sanal alan değil) olarak tanımlar. Bir yükleyicinin değeri doğrudan “müşterilerinin” memnuniyetine bağlı olduğundan bu kısım oldukça kritiktir.
Bu blog yazısında, bizim için yeni olan bir yükleyiciyle kötü amaçlı reklamcılık kampanyasını anlatıyoruz. Program Go dilinde yazılmıştır ve takip yükünü dağıtmak için ilginç bir teknik olan Rhadamanthys hırsızını kullanır.
Kötü amaçlı reklam sistem yöneticilerini hedef alıyor
PuTTY, BT yöneticileri tarafından yıllardır kullanılan, Windows için çok popüler bir SSH ve Telnet istemcisidir. Tehdit aktörü, PuTTY ana sayfası olduğunu iddia eden bir reklam satın aldı ve Google arama sonuçları sayfasının üst kısmında, resmi web sitesinin hemen önünde göründü.
Bu örnekte, reklam snippet'inde bir alan adı gösterildiği için reklam şüpheli görünüyor (arnaudpairoto[.]iletişim) tamamen alakasız. Durum her zaman böyle olmuyor ve kimliğine bürünen markayla tam olarak eşleşen birçok kötü amaçlı reklam görmeye devam ediyoruz.
Sahte PuTTY sitesi
Reklam URL'si, saldırganın, gerçek mağdur olmayan ziyaretçilere “meşru” bir sayfa göstererek güvenlik kontrollerini kolayca aşabileceği, saldırganın kontrol ettiği alana işaret ediyor. Örneğin, bir tarayıcı, korumalı alan veya tarayıcı şu yarı tamamlanmış blogu görecektir:
ABD'den gelen gerçek mağdurlar, bunun yerine tam olarak putty.org'a benzeyen ve hissettiren sahte bir siteye yönlendirilecek. En büyük farklardan biri indirme bağlantısıdır.
Kötü amaçlı veri, her zaman göremediğimiz 2 adımlı bir yeniden yönlendirme zinciri yoluyla indirilir.
puttyconnect[.]info/1.php
HTTP/1.1 302 Found
Location: astrosphere[.]world/onserver3.php
astrosphere[.]world/onserver3.php
HTTP/1.1 200 OK
Server: nginx/1.24.0
Content-Type: application/octet-stream
Content-Length: 13198274
Connection: keep-alive
Content-Description: File Transfer
Content-Disposition: attachment; filename="PuTTy.exe"
Astrosfere inanıyoruz[.]dünya sunucusu, kurbanın IP adresini kaydederken aynı zamanda proxy'ler için bazı kontroller gerçekleştiriyor. Bu IP adresi daha sonra ikincil veri indirilmeden önce kontrol edilecektir.
Bu PuTTy.exe, Go dilinde (sürüm 1.21.0) yazılmış bir damlalık olan kötü amaçlı yazılımdır.
Yazarı ona şu adı vermiş olabilir:Damlalık 1.3“:
Takip yükü
Damlalığın çalıştırılmasının ardından kurbanın genel IP adresi için bir IP kontrolü yapılır. Bu muhtemelen yalnızca kötü amaçlı reklamı izleyen ve kötü amaçlı yazılımı sahte siteden indiren kullanıcılarla devam etmek için yapılır.
zodiacrealm[.]info/api.php?action=check_ip&ip=[IP Address]
Bir eşleşme bulunursa, bırakan kişi başka bir sunucudan bir takip yükünü almaya devam eder (192.121.16)[.]228:22) aşağıdaki resimde görüldüğü gibi:
Bu verileri elde etmek için bir Ubuntu sunucusu üzerinde OpenSSH üzerinden uygulanan SSHv2 (Secure Shell 2.0) protokolünü kullandığını görüyoruz. Bu protokolü yalnızca kötü amaçlı yazılımın indirilmesini daha gizli hale getirmek için kullanmayı düşünebiliriz.
Bu yük, PuTTy.exe ana işlemi tarafından yürütülen Rhadamanthys'tir:
Kötü amaçlı reklam/yükleyici kombinasyonu
Son zamanlarda profilini çıkardığımız FakeBat dahil, kötü amaçlı reklam kampanyaları aracılığıyla farklı türde yükleyiciler gördük. Yükleyicinin kötü amaçlı reklamcılık altyapısına ne kadar yakından bağlı olduğu göz önüne alındığında, her ikisini de aynı tehdit aktörünün kontrol etmesi oldukça muhtemeldir. Diğer suçlulara sundukları hizmet, reklamdan yükleyiciye ve son yüke kadar tüm dağıtım sürecini üstlendikleri kötü amaçlı yazılım dağıtımı hizmetidir.
Bu kampanyayı Google'a bildirdik. Sahte PuTTY yükleyicisini tespit ettiğimiz için Malwarebytes ve ThreatDown kullanıcıları korunmaktadır. Trojan.Script.GO.
DNS Filtreleme özelliğine sahip ThreatDown kullanıcıları, kötü amaçlı reklamlardan kaynaklanan saldırıları önlemek için konsollarında reklam engellemeyi etkinleştirebilir.
Uzlaşma Göstergeleri
Tuzak reklam alanı
arnaudpairoto[.]com
Sahte site
puttyconnect[.]info
Macun
astrosphere[.]world 0caa772186814dbf84856293f102c7538980bcd31b70c1836be236e9fa05c48d
IP kontrolü
zodiacrealm[.]info
Rhadamanthys
192.121.16[.]228:22 bea1d58d168b267c27b1028b47bd6ad19e249630abb7c03cfffede8568749203