Crack ve ticari araçlar kılığına girmiş yeni bir kötü amaçlı yazılım türü, tam zamanında oluşturma taktiğini kullanır ve bir indirme isteği üzerine, kullanıcı için aynı işlevlere sahip benzersiz bir kötü amaçlı yazılım çeşidi oluşturulur; bu da kötü amaçlı yazılımın önceden derlenmiş karma değerlerine dayanarak tespit edilmekten kaçınmasını sağlar.
Kötü amaçlı yazılım, kurulum sırasında belirli düğmelere tıklanana kadar kötü amaçlı eylemleri geciktirmek için bir yükleyici kullanıcı arayüzünden yararlanır ve ardından Komuta ve Kontrol sunucusundan (C2) alınan talimatlara göre daha fazla yükü indirir ve yürütür.
Araştırmacılar, kötü amaçlı yazılımın bilgi hırsızları, proxy araçları, tarayıcı eklentisi gibi görünen tıklayıcılar ve hatta Opera tarayıcısı ve 360 güvenlik ürünleri gibi meşru yazılımları yüklediğini gözlemlediler.
Her indirme isteği için C2 sunucu adresini ve kendisini uyarlayan yeni bir kötü amaçlı yazılım, C2 adresinin zaman damgası ve ülke bilgisi içermesi nedeniyle tespiti zorlaştırıyor.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Zararlı yazılımın daha önce indirildiği ortamlarda saldırgan, bir süreliğine normal bir WinRAR dosyası sunuyor.
Kötü amaçlı yazılım InnoSetup ile oluşturuluyor ve bir yükleyici gibi gizleniyor; kötü amaçlı davranışı tetiklemek için kullanıcının iki kez “İleri”ye tıklaması gerekiyor.
Saldırganlar, C2 sunucusundan “tamam” yanıtı alındığında kötü amaçlı davranışlar yürüten Komuta ve Kontrol (C2) sunucusundan ek yükleyiciler indirmek için InnoDownloadPlugin’i kullandı.
Analizden kaçınmak için C2 sunucusu belirli bir süre sonra yanıtını “hayır”a çevirebilir ve bu da kötü amaçlı eylemler olmadan kurulumun sonlanmasına neden olabilir.
İndirilen yükleyici URL’si, C2 sunucusunun yanıt başlığının “Konum” girişinden alınır ve bu da saldırganların eklenti aracılığıyla hem meşru hem de kötü amaçlı dosyaları dağıtmasına olanak tanır.
InnoLoader kötü amaçlı yazılımı, BAT dosyasını kullanarak StealC Infostealer’ı başlatarak indirme ve yürütme sırasında çeşitli kötü amaçlı yükleri alıp yürüten çok aşamalı bir indiricidir. StealC Infostealer, kullanıcı kimlik bilgilerini, tarayıcı bilgilerini ve potansiyel olarak kripto para cüzdanı/FTP oturum açma bilgilerini çalar.
Kötü amaçlı yazılım daha sonra birden fazla Komuta ve Kontrol (C2) sunucusuyla iletişim kuruyor ve Socks5Systemz proxy’si ve Windows güncelleme aracı gibi gizlenmiş reklam yazılımları gibi ek yükler indiriyor.
Bu indirici-bırakıcı-yük zinciri, kötü amaçlı yazılımın benzersiz örnekler oluşturması ve kullanıcı verilerini çalmak ve potansiyel olarak kalıcılık sağlamak için çeşitli araçlar kullanması nedeniyle analiz etmeyi ve önlemeyi zorlaştırır.
Bir infostealer kampanyası kötü amaçlı dosyaları meşru yükleyiciler olarak gizliyor. Saldırganlar, bir Microsoft Visual C++ yükleyicisi olarak gizlenmiş bir MSI dosyasını indirmek için gizlenmiş bir BAT dosyası kullanıyor ve ardından TEMP dizinine bir Node.js yürütülebilir dosyası ve gizlenmiş bir betik (Lu0Bot) bırakıyor.
Lu0Bot bir C2 URL’si oluşturur, sistemden bilgi toplar ve C2 ile iletişim kurmak için UDP kullanarak komutları yürütebilir; ayrıca StealC gibi ek kötü amaçlı yazılımları indirebilir ve yürütebilir.
AhnLab Güvenlik İstihbarat Merkezi’ne göre, kalıcılığı sağlamak için Lu0Bot kendini ProgramData’ya kopyalıyor ve Başlangıç klasöründe bir kısayol oluşturuyor; bu da analizi zorlaştırıyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files