Siber güvenlik araştırmacıları, WARMCOOKIE adlı Windows tabanlı bir arka kapı sunmak için işe alım ve iş temalı tuzaklardan yararlanan, devam eden bir kimlik avı kampanyasının ayrıntılarını açıkladı.
Elastic Security Labs araştırmacısı Daniel Stepanic yeni bir analizde “WARMCOOKIE, kurban ağlarını tespit etmek ve ek yükleri dağıtmak için kullanılan bir ilk arka kapı aracı gibi görünüyor” dedi. “Her örnek sabit kodlanmış bir kodla derlenir [command-and-control] IP adresi ve RC4 anahtarı.”
Arka kapı, virüs bulaşmış makinelerin parmak izini alma, ekran görüntüleri yakalama ve daha fazla kötü amaçlı program bırakma yetenekleriyle birlikte gelir. Şirket, etkinliği REF6127 adı altında takip ediyor.
Nisan ayının sonlarından bu yana gözlemlenen saldırı zincirleri, Hays, Michael Page ve PageGroup gibi işe alım firmalarından geldiği iddia edilen ve alıcıları bir iş fırsatıyla ilgili ayrıntıları görüntülemek için gömülü bir bağlantıya tıklamaya teşvik eden e-posta mesajlarının kullanılmasını içeriyor.
Bağlantıyı tıklayan kullanıcılardan CAPTCHA sorununu çözerek bir belge indirmeleri istenir ve ardından bir JavaScript dosyası (“Update_23_04_2024_5689382.js”) bırakılır.
Elastic, “Bu karmaşık komut dosyası PowerShell’i çalıştırarak WARMCOOKIE’yi yüklemek için ilk görevi başlatıyor” dedi. “PowerShell betiği, WARMCOOKIE’yi indirmek için Arka Plan Akıllı Aktarım Hizmetini (BITS) kötüye kullanıyor.”
Kampanyanın önemli bir bileşeni, daha sonra mağdurları uygun açılış sayfasına yönlendirmek için kullanılan ilk kimlik avı URL’sini barındırmak için ele geçirilmiş altyapının kullanılmasıdır.
Bir Windows DLL’si olan WARMCOOKIE, zamanlanmış bir görevi kullanarak kalıcılığın oluşturulmasına ve temel işlevlerin başlatılmasına izin veren, ancak tespitten kaçınmak için bir dizi anti-analiz kontrolü gerçekleştirmeden önce olmayan iki adımlı bir süreci izler.
Arka kapı, imalat, ticari ve sağlık kuruluşlarını hedef alan Resident kod adlı önceki kampanyayla bağlantılı olarak kullanılan bir yapıya benzer bir şekilde, virüs bulaşmış ana bilgisayar hakkındaki bilgileri yakalamak üzere tasarlandı.
Ayrıca dosyalardan okuma ve dosyalara yazma, cmd.exe kullanarak komutları yürütme, yüklü uygulamaların listesini getirme ve ekran görüntüleri alma komutlarını da destekler.
Elastic, “WARMCOOKIE, popülerlik kazanan ve dünya genelindeki kullanıcıları hedefleyen kampanyalarda kullanılan, yeni keşfedilen bir arka kapıdır” dedi.
Açıklama, Trustwave SpiderLabs’ın faturayla ilgili tuzaklar kullanan ve kötü amaçlı yazılım dağıtmak için HTML koduna gömülü Windows arama işlevinden yararlanan karmaşık bir kimlik avı kampanyasını ayrıntılı olarak açıklamasının ardından geldi.
E-posta mesajları, Windows Gezgini’nde uzak bir sunucuda barındırılan bir Kısayol (LNK) dosyasını görüntülemek için eski Windows “arama:” URI protokol işleyicisini kullanan ve bunun yerel bir arama sonucu olduğu izlenimini veren bir HTML dosyası içeren bir ZIP arşivi taşır. .
Trustwave, “Bu LNK dosyası, aynı sunucuda barındırılan bir toplu komut dosyasına (BAT) işaret ediyor ve bu, kullanıcı tıkladığında potansiyel olarak ek kötü amaçlı işlemleri tetikleyebilir.” dedi ve sunucunun yanıt vermemesi nedeniyle toplu komut dosyasını alamadığını ekledi.
Search-ms: ve search: öğelerinin kötü amaçlı yazılım dağıtım vektörü olarak kötüye kullanılmasının Temmuz 2023’te Trellix tarafından belgelendiğini belirtmekte fayda var.
Şirket, “Bu saldırı, kötü amaçlı yazılımın otomatik kurulumunu kullanmasa da, kullanıcıların çeşitli istemler ve tıklamalarla etkileşime geçmesini gerektiriyor” dedi. “Ancak bu teknik, saldırganın gerçek niyetini akıllıca gizleyerek, kullanıcıların tanıdık arayüzlere ve e-posta eklerini açmak gibi yaygın eylemlere duyduğu güveni istismar ediyor.”