McAfee Labs’ın bulguları, daha fazla gizlilik ve gelişmişlik için Lua bayt kodundan yararlanan yeni bir bilgi hırsızının bulunduğunu ortaya koyuyor.
Siber güvenlik firması, komuta ve kontrol (C2) sunucusu IP adresinin daha önce kötü amaçlı yazılımla ilişkili olarak tanımlanmış olması nedeniyle bunun RedLine Stealer adı verilen bilinen bir kötü amaçlı yazılımın bir çeşidi olduğunu değerlendirdi.
İlk olarak Mart 2020’de belgelenen RedLine Stealer, genellikle doğrudan e-posta ve kötü amaçlı reklam kampanyaları aracılığıyla ya da yararlanma kitleri ve dotRunpeX ve HijackLoader gibi kötü amaçlı yazılım yükleme yoluyla dağıtılıyor.
Kullanıma hazır kötü amaçlı yazılım, kripto para birimi cüzdanlarından, VPN yazılımından ve web tarayıcılarından kayıtlı kimlik bilgileri, otomatik tamamlama verileri, kredi kartı bilgileri ve kurbanların IP adreslerine dayalı coğrafi konumlar gibi bilgileri toplama yeteneğine sahiptir.
Yıllar geçtikçe RedLine Stealer, birçok tehdit aktörünün saldırı zincirlerine dahil edilmesiyle Kuzey Amerika, Güney Amerika, Avrupa, Asya ve Avustralya’yı kapsayan yaygın bir tehdit haline geldi.
McAfee tarafından tanımlanan bulaşma dizisi, kötü amaçlı yazılım yüklü yükü ZIP arşivleri biçiminde barındırmak için C++ Standart Kitaplığı (STL) ve vcpkg’yi uygulamak için Microsoft’un iki resmi deposunu kullanarak GitHub’u kötüye kullanıyor.
Dosyaların depoya nasıl yüklendiği şu anda bilinmiyor ancak bu teknik, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için güvenilir depolara duyulan güveni silah haline getirdiğinin bir işareti. ZIP dosyaları artık Microsoft depolarından indirilemez.
ZIP arşivi (“Cheat.Lab.2.7.2.zip” ve “Cheater.Pro.1.6.0.zip”) bir oyun hilesi gibi görünüyor ve bu da kampanyanın hedefinin muhtemelen oyuncular olduğunu gösteriyor. Kötü amaçlı Lua bayt kodunu çalıştırmak üzere tasarlanmış bir MSI yükleyicisiyle birlikte gelir.
Araştırmacılar Mohansundaram M. ve Neil Tyagi, “Bu yaklaşım, kötü niyetli saldırıları gizleme ve wscript, JScript veya PowerShell komut dosyası gibi kolayca tanınabilen komut dosyalarının kullanımını önleme avantajını sağlıyor ve böylece tehdit aktörünün gizlilik ve kaçma yeteneklerini geliştiriyor” dedi.
Kötü amaçlı yazılımı diğer sistemlere aktarma girişiminde bulunan MSI yükleyicisi, kurbanı, yazılımın kilitsiz sürümünü almak için programı arkadaşlarıyla paylaşmaya teşvik eden bir mesaj görüntüler.
Yükleyicide çalıştırılabilir “compiler.exe”, ZIP arşivinde bulunan “readme.txt” dosyasındaki gömülü Lua bayt kodunu çalıştırdıktan sonra, zamanlanmış bir görevi kullanarak ana bilgisayarda kalıcılığı ayarlar ve bir CMD dosyasını bırakır. çevirin, “compiler.exe”yi başka bir “NzUw.exe” adı altında çalıştırır.
Son aşamada, “NzUw.exe”, RedLine’a atfedilen yukarıda belirtilen IP adresi olan HTTP üzerinden bir komut ve kontrol (C2) sunucusuyla iletişimi başlatır.
Kötü amaçlı yazılım daha çok bir arka kapı gibi işlev görüyor, C2 sunucusundan alınan görevleri gerçekleştiriyor (örn. ekran görüntüleri alıyor) ve sonuçları ona geri sızdırıyor.
ZIP arşivlerine olan bağlantıların dağıtıldığı kesin yöntem şu anda bilinmemektedir. Bu ayın başlarında Checkmarx, tehdit aktörlerinin, şüphelenmeyen kullanıcıları kötü amaçlı yazılım yüklü depoları indirmeleri için kandırmak amacıyla GitHub’un arama işlevinden nasıl yararlandıklarını ortaya çıkardı.
Bu gelişme, Recorded Future’ın, oyun topluluğunu hedef alan ve tuzak kimlik avı adı verilen bir teknikle, macOS ve Windows kullanıcılarından hassas bilgileri çalabilecek kötü amaçlı yazılımlar sunmak için sahte Web3 oyun tuzaklarından yararlanan “büyük ölçekli bir Rusça siber suç operasyonunu” ayrıntılarıyla anlatmasıyla ortaya çıkıyor.
Insikt Group, “Kampanya, meşru görünmek için hafif isim ve marka değişiklikleriyle taklit Web3 oyun projeleri oluşturmanın yanı sıra, orijinalliklerini güçlendirmek için sahte sosyal medya hesapları oluşturmayı içeriyor” dedi.
“Bu projelerin ana web sayfaları, yüklendikten sonra işletim sistemine bağlı olarak Atomic macOS Stealer (AMOS), Stealc, Rhadamanthys veya RisePro gibi çeşitli “bilgi hırsızlığı” kötü amaçlı yazılım türlerini cihazlara bulaştıran indirmeler sunuyor.”
Aynı zamanda, PikaBot gibi yükleyiciler ve NewBot Loader adı verilen yeni bir tür ile kurumsal ortamları hedef alan bir dizi kötü amaçlı yazılım kampanyasının da ardından geliyor.
McAfee, “Saldırganlar, PikaBot yükünü sağlamayı hedefleyerek her kampanyada çeşitli teknikler ve enfeksiyon vektörleri sergilediler.” dedi.
Buna, e-posta konuşmalarının ele geçirilmesinden yararlanan bir kimlik avı saldırısı ve kurbanları bir KOBİ paylaşımından kötü amaçlı yazılım indirmeye ikna etmek için MonikerLink (CVE-2024-21413) adı verilen bir Microsoft Outlook kusuru da dahildir.