HijackLoader adlı yeni bir kötü amaçlı yazılım yükleyicisi, DanaBot, SystemBC ve RedLine Stealer gibi çeşitli yükleri sunarak siber suçlu topluluğu arasında ilgi görüyor.
Zscaler ThreatLabz araştırmacısı Nikolaos Pantazopoulos, “HijackLoader gelişmiş özellikler içermese de, çoğu yükleyicinin sahip olmadığı bir özellik olan modüler bir mimari kullandığından kod enjeksiyonu ve yürütme için çeşitli modülleri kullanma yeteneğine sahip.” dedi.
Şirket tarafından ilk kez Temmuz 2023’te gözlemlenen kötü amaçlı yazılım, radarın altından geçmek için çeşitli teknikler kullanıyor. Bu, güvenlik çözümlerinin izlemesinden kaçınmak için sistem çağrılarının kullanılmasını, yerleşik bir engelleme listesine dayalı güvenlik yazılımıyla ilişkili süreçlerin izlenmesini ve farklı aşamalarda kod yürütmenin 40 saniyeye kadar ertelenmesini içerir.
Hedeflere sızmak için kullanılan tam başlangıç erişim vektörü şu anda bilinmiyor. Anti-analiz yönlerine rağmen, yükleyici, gömülü modüller kullanılarak esnek kod enjeksiyonunu ve yürütülmesini kolaylaştıran bir ana enstrümantasyon modülünde bulunur.
Güvenliği ihlal edilen ana bilgisayarın kalıcılığı, Windows Başlangıç klasöründe bir kısayol dosyası (LNK) oluşturularak ve bunun bir Arka Plan Akıllı Aktarım Hizmeti (BITS) işine yönlendirilmesiyle sağlanır.
Pantazopoulos, “HijackLoader, kötü amaçlı yükler için çeşitli yükleme seçenekleri sunan, kaçınma tekniklerine sahip modüler bir yükleyicidir.” dedi. “Ayrıca herhangi bir gelişmiş özelliği yok ve kodun kalitesi düşük.”
Açıklama, Flashpoint’in, daha önce PrivateLoader adlı bir yükleme başına ödeme (PPI) kötü amaçlı yazılım indirme hizmeti aracılığıyla dağıtılan, RisePro olarak bilinen, bilgi çalan kötü amaçlı yazılımın güncellenmiş bir sürümünün ayrıntılarını açıklamasının ardından geldi.
Flashpoint, “Satıcı, reklamlarında ‘RedLine’ ve ‘Vidar’ın en iyi yönlerini kullanarak güçlü bir hırsız olduğunu iddia etti.” dedi. “Ve bu kez satıcı, RisePro kullanıcılarına yeni bir avantaj da vaat ediyor: Müşteriler, logların satıcılar tarafından çalınmamasını sağlamak için kendi panellerini barındırıyor.”
C++ ile yazılan RisePro, virüs bulaşmış makinelerdeki hassas bilgileri toplamak ve bunları günlükler biçiminde bir komuta ve kontrol (C&C) sunucusuna sızdırmak için tasarlanmıştır. İlk olarak Aralık 2022’de satışa sunuldu.
Bu aynı zamanda, Node.js’de yazılmış, çalıştırılabilir bir dosyaya paketlenen ve kötü amaçlı Büyük Dil Modeli (LLM) temalı Facebook reklamları ve ByteDance’in CapCut video düzenleyicisini taklit eden sahte web siteleri aracılığıyla dağıtılan yeni bir bilgi hırsızının keşfinin ardından geldi.
Güvenlik araştırmacısı Jaromir Horejsi, “Çalıcı yürütüldüğünde, çeşitli Chromium tabanlı web tarayıcılarından çerezleri ve kimlik bilgilerini çalan ve ardından verileri C&C sunucusuna ve Telegram botuna sızdıran ana işlevini çalıştırıyor” dedi.
“Ayrıca istemciyi GraphQL çalıştıran C&C sunucusuna abone eder. C&C sunucusu müşteriye bir mesaj gönderdiğinde çalma işlevi yeniden çalışacaktır.” Hedeflenen tarayıcılar arasında Google Chrome, Microsoft Edge, Opera (ve OperaGX) ve Brave bulunur.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Bu, sahte CapCut web sitelerinin hırsızlığa yönelik kötü amaçlı yazılım dağıttığı ikinci kez gözlemleniyor. Mayıs 2023’te Cyble, şüphelenmeyen kullanıcıları Offx Stealer ve RedLine Stealer’ı çalıştırmaları için kandırmak amacıyla yazılımdan yararlanan iki farklı saldırı zincirini ortaya çıkardı.
Gelişmeler, tehdit aktörlerinin kuruluşlara sızmak ve istismar sonrası eylemler gerçekleştirmek için kullandığı birincil ilk saldırı vektörü olarak görev yapan hırsız enfeksiyonlarıyla birlikte sürekli gelişen bir siber suç ekosisteminin resmini çiziyor.
Bu nedenle, tehdit aktörlerinin, müşterilerinin erişimlerini ve etkilerini en üst düzeye çıkarmalarına olanak tanıyan İsviçre Çakısı işlevselliklerini içeren Prysmax gibi yeni hırsız kötü amaçlı yazılım türlerini ortaya çıkarmak için bu kervana katılmaları şaşırtıcı değil.
Cyfirma, “Python tabanlı kötü amaçlı yazılım, kötü amaçlı kodu ve tüm bağımlılıklarını tek bir yürütülebilir dosyada bir araya getirmek için kullanılabilen Pyinstaller kullanılarak paketlendi.” dedi. “Kötü amaçlı yazılımları çalan bilgi, Windows Defender’ı devre dışı bırakmaya, ayarlarını değiştirmeye ve tehditlere karşı kendi yanıtını yapılandırmaya odaklanıyor.”
“Aynı zamanda izlenebilirliğini azaltmaya ve güvenliği ihlal edilmiş sistemde bir yer edinmeye çalışıyor. Kötü amaçlı yazılım, veri hırsızlığı ve sızma için iyi tasarlanmış gibi görünüyor, aynı zamanda güvenlik araçları ve dinamik analiz sanal alanları tarafından tespit edilmekten kaçınıyor.”