Check Point Research (CPR), kötü niyetli reklamlar ve derlenmiş JavaScript yükleri aracılığıyla kripto para alım satım uygulamaları kullanıcılarını hedefleyen JSCeal adlı karmaşık bir kötü amaçlı yazılım kampanyası belirledi.
En azından Mart 2024’ten bu yana aktif olarak, operasyon, modüler enfeksiyon akışları ve derlenmiş V8 JavaScript (JSC) dosyalarını yürütmek için Node.js kullanımı dahil olmak üzere gelişmiş anti-analiz tekniklerini dahil etmek için gelişmiştir.
Bu kampanya, sahte kurulumcuları dağıtmak için sosyal medya platformlarında ücretli kötüverizasyondan yararlanarak yaklaşık 50 popüler kripto uygulamasını taklit ediyor.
2025’in ilk yarısında, tehdit aktörleri sadece Avrupa Birliği’nde milyonlarca görüş kazanarak yaklaşık 35.000 kötü niyetli reklam kullandı ve potansiyel küresel erişim sosyal medya demografik özelliklerine dayanan 10 milyon kullanıcıyı aştı.
Kampanya keşfi
JScoal kötü amaçlı yazılım, kimlik bilgileri, cüzdanlar, tarayıcı çerezleri, otomatik tamamlama şifreleri ve telgraf hesapları gibi kripto para birimi ile ilgili verilerin yayılmasına odaklanır.
Keylogging, ekran görüntüsü yakalama, tarayıcıdaki adam (MITB) saldırıları ve ortadaki adam (MITM) müdahalesi gibi teknikler kullanır ve certutil.exe ile yüklü yerel vekiller ve gömülü sertifikalar.
Yük aynı zamanda bir uzaktan erişim Trojan (sıçan) olarak işlev görür ve Web etkileşimleri için kuklacı ve komut satırı görevleri için Winpty aracılığıyla uzaktan PowerShell komut yürütme ve otomasyonunu sağlar.
Analiz, JavaScript-Obfuscator gibi araçlar kullanarak, statik tespit ve ayrışmayı karmaşıklaştıran ağır gizlenmeyi ortaya çıkarır, ancak CPR’nin View8 aracı bayt modunun muayenesine yardımcı olur.
Çok katmanlı enfeksiyon zinciri
Enfeksiyon, Facebook gibi platformlarda kötü niyetli olarak başlar, kurbanları, IP filtreleme ve yönlendiricilere dayanan sahte açılış sayfaları veya tuzak siteleri için belirli adlandırma modellerini (örneğin, “uygulama”, “indir” ve “PC” gibi kelimelerin kombinasyonları) izleyerek yönlendirerek başlar.
Başarılı yönlendirmeler, WIX araç seti kullanılarak oluşturulan Rus kuruluşlarından geçerli sertifikalarla imzalanan MSI montajcılarına yol açar.
Bu yükleyiciler, WMI sorguları ve zamanlanmış görev oluşturma için sahte sitelerdeki JavaScript komut dosyalarına bağımlı olan localhost: 30303’te HTTP dinleyicilerini kuran özel DLL’leri (örneğin Taskscheduler.dll ve wmi.dll) yerleştirir.
Profil oluşturma, PowerShell’i Windows Defender taramalarından ve toplama makinesi parmak izlerinden (örn., Kayıt defteriden, yüklü yazılım, UAC ayarları ve ağ detaylarından) hariç, sistem ayrıcalıkları altında çalışan XML tanımlı planlanmış görevler tarafından tetiklenen PowerShell backroors aracılığıyla gerçekleşir.
Veriler, genellikle nihai JSC yükünü Node.js çalışma zamanı, brotli sıkıştırılmış app.jsc, preflight.js içeren zip arşivlerinde desompression ve doğal .Node modülleri içeren komut ve kontrol (C2) sunucularına eklenir.
C2 ile iletişim, dikey ölçeklendirme gibi alt alanları çözmek için HTTP’ler üzerinden WebSoks ve DNS üzerinden TRPC kullanır.[.]com.
Değerli görülmezse, kurbanlar eserleri kaldırmak için temizleme komut dosyaları alırlar. Yaygın dağılıma rağmen, birçok numune, JSC’nin bayt kodu doğası ve anti-busyon mekanizmaları nedeniyle uzun süreler boyunca virustotal üzerinde tespitten kaçınmıştır.
CPR, Weevilproxy gibi benzer faaliyetlerle ilgili önceki raporlarla korelasyonlara dikkat çeker ve savunma için node.js yürütmelerini izleme vurgular.
Korumalar, tehdit emülasyonu ve uyum uç noktası gibi araçları, varyantları infostealer.win.jscoal.a olarak sınıflandırma ve ilgili damlalıklar içerir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | IOC değeri/örnek | Tanım |
|---|---|---|
| Jscial C2 | dikey ölçek[.]com | Birincil komut ve kontrol alanı |
| Jscial C2 | ggg deliği[.]com | Birincil komut ve kontrol alanı |
| Ara c2 | Çözme-NS[.]sayfa[.]dev | Cloudflare ile barındırılan ara C2 |
| Ara c2 | ASVUFW[.]işçi[.]dev | Cloudflare çalışanları ara c2 |
| Yeniden yönlendirme alanı | App-Pc Windows[.]com | Yeniden yönlendirme zincirinde kullanılan alan adı |
| Yeniden yönlendirme alanı | İndir-Apps-Windows[.]com | Yeniden yönlendirme zincirinde kullanılan alan adı |
| Build.zip karma | B90e3aaae14e7787e5a4a6d4beee67204bd5b05427f2c80b64f605660d2b8 | SHA-256 Hash of Build.zip yükü |
| Build.zip karma | F6C670E65765D10A5CA0205A6ECE3A3E6C730B0A8534C5ADEF4A3CB06B9C | SHA-256 Hash of Build.zip yükü |
| MSI yükleyici karma | A696d03aeb1bde63b674bdd640a1a313cae7da711d99cfba3fd06f02d3864de | SHA-256 KADAR MISI DOSYASINDAN HASH |
| MSI yükleyici karma | E881682B59640C05CD54069695A849610260415E57F79B62383108C1AA3354 | SHA-256 KADAR MISI DOSYASINDAN HASH |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!