Palo Alto Networks, Kasım 2023’te, tipik ulus destekli saldırıların aksine, çeşitli kuruluşları hedef alan mali amaçlı bir saldırı olan Bulaşıcı Röportaj kampanyasını bildirdi.
Her ne kadar öncelikle BeaverTail ve InvisibleFerret kötü amaçlı yazılımlarıyla ilişkilendirilse de, SOC’ler yakın zamanda OtterCookie’nin bu kampanya kapsamında kullanıldığını gözlemledi.
OtterCookie öncekilerden farklı bir davranış sergileyerek kampanyanın evrimini ve genişleyen tehdit manzarasını ortaya koyuyor; bu da kuruluşlar için Bulaşıcı Röportajın oluşturduğu riskleri etkili bir şekilde azaltmak için sürekli izleme ve tehdit istihbaratı güncellemelerinin önemini vurguluyor.
Yazılım geliştirme süreçlerindeki güvenlik açıklarından yararlanan Bulaşıcı Röportaj saldırıları giderek daha fazla farklı kaynaklardan kaynaklanmaktadır.
Node.js projeleri ve npm paketleri yaygın saldırı vektörleri olmaya devam ederken, saldırganlar artık Qt ve Electron çerçeveleriyle oluşturulmuş uygulamaları hedef alıyor; bu da saldırganların yazılım tedarik zincirindeki yeni güvenlik açıklarını tespit etmek ve bunlardan yararlanmak için aktif deneyler yaptığını gösteriyor.
Önceki araştırmalar, JSON verilerini getiren, bir “tanımlama bilgisi” özelliği çıkaran ve bunu JavaScript kodu olarak çalıştıran yükleyicileri belgelemişti; benzer bir modelde, yükleyiciler JavaScript kodunu doğrudan indiriyor, 500 HTTP durum kodunu tetikliyor ve ortaya çıkan catch bloğu içinde kodu çalıştırıyordu.
Bu yükleyici öncelikle BeaverTail kötü amaçlı yazılımını dağıtıyor, ancak OtterCookie enfeksiyonları kaydedildi ve aynı zamanda OtterCookie ve BeaverTail’in eş zamanlı çalıştırıldığı örneklerle de karşılaşıldı.
Kasım 2024’te gözlemlenen bir kötü amaçlı yazılım olan OtterCookie, uzaktan iletişim için Socket.IO’yu kullanıyor ve SocketServer işlevi aracılığıyla uzaktan komutlar aldıktan sonra kabuk komutlarını (komut) yürütebilir ve cihaz bilgilerini (whour) çalabilir.
SocketServer işlevi aracılığıyla gönderilen komutların analizi, OtterCookie’nin belge, resim ve kripto para birimiyle ilgili dosyalardan kripto para birimi cüzdan anahtarlarını topladığını ve bunları çevre keşfi için ls ve cat komutlarını kullanarak uzak bir sunucuya gönderdiğini ortaya çıkardı.
Kasım ayında piyasaya sürülen OtterCookie sürümü, Eylül ayında piyasaya sürülen versiyona kıyasla kripto para birimi anahtarlarını çalma konusunda gelişmiş yeteneklere sahip.
Her iki versiyon da anahtarları çalabilirken, November bu amaç için uzak kabuk komutlarından yararlanırken Eylül, ‘checkForSensitiveData’ işlevi içindeki düzenli ifadeye dayalı kontrollere güveniyor.
Kasım, hassas verileri kurbanın cihazından uzak bir konuma sızdırmak için “clipboardy” kitaplığını kullanan pano izleme işlevini tanıttı; Eylül OtterCookie’de bulunmayan bir özellik.
NTT’ye göre, bir tehdit aktörü grubu olan bulaşıcı Interview, OtterCookie adlı, tarayıcı çerezlerini hedef alıp çalan ve potansiyel olarak kullanıcı hesaplarını tehlikeye atan yeni bir kötü amaçlı yazılım çeşidini devreye aldı.
Saldırı vektörü hâlâ araştırılıyor ancak araştırmacıların Japonya’daki saldırıları gözlemlemesi, coğrafi kapsamın genişlediğine işaret ettiğinden, tehdit aktörü aktif olarak taktiklerini geliştiriyor.