Yeni .NET Çok Aşamalı Yükleyici Kötü amaçlı yükler dağıtmak için Windows sistemlerini hedefler


Yakın zamanda keşfedilen .NET tabanlı çok aşamalı bir yükleyici, karmaşık mimarisi ve Windows sistemlerine bir dizi kötü amaçlı yükü dağıtma yeteneği nedeniyle siber güvenlik araştırmacılarının dikkatini çekti.

Threatray tarafından 2022’nin başından beri izlenen bu yükleyici, AgentTesla, Formbook, Remcos ve 404Keylogger gibi emtia samanlılar, keyloggers ve uzaktan erişim truva atlarını (sıçanlar) sunmak için sofistike üç aşamalı bir süreç kullanıyor.

Mart 2022’den Şubat 2025’e kadar gözlem dönemi boyunca yükleyici tarafından düşen ailelerin göreceli sıklığı.

Şifreli yükleri birden fazla aşamaya yerleştiren yükleyicinin tasarımı, geleneksel güvenlik araçları için algılama ve analizi zorlaştırarak yüksek düzeyde şaşkınlık gösterir.

– Reklamcılık –
Google Haberleri

Kod yeniden kullanım kümelenmesi yoluyla üç yıldan fazla bir süredir tanımlanan 20.000’den fazla örnekle, bu yükleyici kötü amaçlı yazılım manzarasında kalıcı ve gelişen bir tehdidi temsil etmektedir.

Üç aşamalı yükleme mekanizması açıklandı

Yükleyici, önce Palo Alto Networks’ten Unit42 tarafından da not edilen daha yeni varyantlarda Bitmap kaynakları içinde gizlenen, sonraki aşamalar için şifreli veri içeren bir .NET yürütülebilir dosyası yürüterek çalışır.

Kötü amaçlı yükler
Yükleyici aşamaları.

İkinci aşama, bir .NET DLL, üçüncü aşamayı XOR tabanlı şifre çözme kullanarak belleğe çözer ve yüklerken, son aşama kötü amaçlı yükü dağıtır.

Threatray’ın analizi, üçüncü aşamanın kod yapısının istikrarını vurgular ve kötü amaçlı yazılım beslemelerinde varlığını tespit etmek için tasarlanmış özel bir Yara kuralı ile etkili izleme sağlar.

Konuşlandırılan yükler ağırlıklı olarak bilgi çalanlar ve sıçanlar içerir, AgentTesla ve Remcos gibi aileler Mart 2022 ile Şubat 2025 arasında sık sık görünür.

İlginç bir şekilde, yükleyici taze örnekler ve uzlaşma göstergeleri (IOC’ler) sağlarken, Xworm ve Novodealer gibi varyantlar, ilk keşiflerinden çok sonra bu yükleyicide ortaya çıktığından, Vipkeylogger’ın vahşi doğadaki görünümü ile eşzamanlı olarak tanımlandığı için yeni kötü amaçlı yazılım ailelerinin erken tespitinde sınırlı bir değere sahiptir.

Yük dağıtım ve izleme bilgileri

Entrikaları daha da derinleştiren araştırmacılar, yükleyicinin geliştiricilerinin, Meyve Ninja ve Monster Hunter’a atıfta bulunanlar gibi oyunlardan ilham alan işlev adlarını ikinci aşamanın dağıtım rutinlerine atıfta bulunduğunu belirtti.

Bu benzersiz tanımlayıcılar, izleme amacıyla ek IOC’ler görevi görebilir.

Yükleyicinin adapte olma kabiliyeti, yüklü dizilerden yük depolama için Bitmap kaynaklarına geçiş ile kanıtlanmıştır, bakımcılarının statik analiz ve imza tabanlı algılama sistemlerinden kaçınma çabalarının altını çizmektedir.

Bu uyarlanabilirlik, gözlemlenen örneklerin hacmi ile birleştiğinde, belirli bir tehdit aktörüne veya ailesine atfedilmesi zor olmasına rağmen, yükleyicinin arkasında iyi organize edilmiş bir operasyona işaret etmektedir.

Siber güvenlik topluluğu, bu tehdidin kökenlerini ve operatörlerini daha iyi anlamak için bilgiler paylaşmaya teşvik edilmektedir.

Aşağıda, yükleyici ile ilişkili temel IOC’lerin özetlenmiş bir tablosu, yük konumlarını, ilk örnek karmalarını, çıkarılan üçüncü aşamalı karmalar ve nihai yük aileleri dağıtılan detaylandırılmıştır.

Uzlaşma Göstergeleri (IOC)

Aşama 1 yük konumuKarma İlk ÖrnekKarma Aşama 3 (çıkarılmış)Nihai Yük Ailesi
Bitmap kaynağı2A3F660BC5DDEC834F1F6473E07D4A2581DD0139D6F84742A1C2E9B5FD4561B87B1535C73BAB017C8E351443519D5761C759884A95E32D3ED26173FDDCRedlinestealer
Bitmap kaynağı609BC44C18519741ABB62259B700403E05CC0FD57B972EF68CA6AE8194D27F2A052efeadeb1533936df0a1656b6f2f59f47ef10698274356e323109f87427c4AgentTesla
Bitmap kaynağı6AD7485E8E4BB2AA919984473FED8A6C9201B29D1930D41126521524483E063CA3294442E1194F637E02186E9682F3872C59E6247B8A8C759E9CBA936669Darkcloudstealer
Bitmap kaynağı81ccf158093718305b3499d0f16d8a82bcad69f274006daca8d5b5ca979688D3987a5d9cb294e7c7990c9a45b2a080dc9aa7b61fc4c9e437fc4659effda7Remos

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!



Source link