Çin, Türkiye, Endonezya, Tayvan ve İspanya’da bulunan Windows kullanıcılarını aktif olarak hedeflemek için Snake Keylogger kötü amaçlı yazılımının yeni bir varyantı kullanılmaktadır.
Fortinet Fortiguard Labs, kötü amaçlı yazılımın yeni versiyonunun yılın başından beri dünya çapında 280 milyondan fazla engellenmiş enfeksiyon denemesinin arkasında olduğunu söyledi.
Güvenlik araştırmacısı Kevin Su, “Genellikle kötü niyetli ekler veya bağlantılar içeren kimlik avı e -postaları yoluyla teslim edilen Snake Keylogger, tuş vuruşlarını kaydeterek, kimlik bilgilerini yakalayarak ve panoyu izleyerek Chrome, Edge ve Firefox gibi popüler web tarayıcılarından hassas bilgileri çalmak için tasarlanmıştır.” Dedi.
Diğer özellikleri, çalınan bilgileri basit posta aktarım protokolünü (SMTP) ve telgraf botlarını kullanarak saldırgan kontrollü bir sunucuya ekspiltratlamasına izin vererek, tehdit aktörlerinin çalıntı kimlik bilgilerine ve diğer hassas verilere erişmesine izin veriyor. “
En son saldırı setiyle ilgili dikkat çekici olan şey, ana yükü teslim etmek ve yürütmek için otomatik komut dosyası dilini kullanmasıdır. Başka bir deyişle, kötü amaçlı yazılımları içeren yürütülebilir ürün otomatik olarak derlenmiş bir ikilidir, böylece geleneksel algılama mekanizmalarını atlamasına izin verir.
SU, “Otomatik kullanımı sadece yükü derlenen komut dosyasına yerleştirerek statik analizi karmaşıklaştırmakla kalmaz, aynı zamanda iyi huylu otomasyon araçlarını taklit eden dinamik davranışı da sağlar.”
Başlatıldıktan sonra Snake Keylogger, kendisinin bir kopyasını “%local_appdata%\ supergroup” klasöründe “ageless.exe” adlı bir dosyaya bırakmak için tasarlanmıştır. Ayrıca, Visual Basic Script (VBS), sistemin her yeniden başlatıldığında kötü amaçlı yazılımı otomatik olarak başlatacak şekilde Windows başlatma klasörüne “Aglamess.vbs” adlı başka bir dosyayı bırakmaya devam eder.
Bu kalıcılık mekanizması sayesinde Snake Keylogger, ilişkili süreç sona erdirilse bile, tehlikeye atılan sisteme erişimi sürdürebilir ve kötü niyetli faaliyetlerine devam edebilir.
Saldırı zinciri, ana yükün “regsvcs.exe” gibi meşru bir .NET işlemine enjeksiyon ile işlem oyununun boşluğu ve kötü amaçlı yazılımın güvenilir bir süreç içinde varlığını gizlemesine izin vermesine izin veren ve yan yana algılama ile sonuçlanır.
Snake Keylogger’ın ayrıca tuş vuruşlarını kaydettiği ve check.dyndns gibi web sitelerini kullandığı bulundu[.]Kurbanın IP adresini ve coğrafi konumunu almak için org.
Su, “Tuş vuruşlarını yakalamak için SetWindowShookex API’sını, tuş vuruşlarını izleyen düşük seviyeli bir klavye kancası olan WH_KEYBOard_ll (Bayrak 13) olarak ayarlanan ilk parametre ile kullanıyor.” Dedi. “Bu teknik, kötü amaçlı yazılımların bankacılık kimlik bilgileri gibi hassas girişi kaydetmesini sağlar.”
Geliştirme, CloudSek’in, Lumma Stealer kötü amaçlı yazılımlarını dağıtmak için PDF belgeleri olarak gizlenmiş kötü amaçlı LNK dosyalarını dağıtmak için eğitim kurumlarıyla ilişkili tehlikeye atılmış altyapı kullanan bir kampanya detaylandırdığı için geliyor.
Finans, sağlık, teknoloji ve medya gibi endüstrileri hedefleyen etkinlik, şifrelerin, tarayıcı verilerinin ve kripto para birimi cüzdanlarının çalınmasına neden olan çok aşamalı bir saldırı dizisidir.
Güvenlik araştırmacısı Mayank Sahariya, “Kampanyanın birincil enfeksiyon vektörü, meşru PDF belgeleri olarak görünmesi için hazırlanmış kötü amaçlı LNK (kısayol) dosyalarının kullanılmasını içerir.”
LNK dosyası, uzak bir sunucuya bağlanmak ve Lumma Stealer’ı aynı sunucudan indiren ve yürüten başka bir PowerShell’i barındıran gizlenmiş bir JavaScript kodu olan bir sonraki aşamalı kötü amaçlı yazılımları almak için bir PowerShell komutu yürütür.
Son haftalarda, Stealer kötü amaçlı yazılım, tehlikeye atılan Windows sistemlerinden çok çeşitli hassas veri toplamak ve saldırgan tarafından işletilen bir telgraf botuna eklemek için gizlenmiş JavaScript dosyaları aracılığıyla dağıtıldı.
Cyfirma, “Saldırı, bir PowerShell komut dosyasını yürütmek için kodlanmış dizeleri açık kaynaklı bir hizmetten getiren gizlenmiş bir JavaScript dosyasıyla başlıyor.” Dedi.
“Bu komut dosyası daha sonra bir IP adresinden bir JPG görüntüsü ve bir metin dosyası indirir, her ikisi de steganografik teknikler kullanılarak gömülü kötü niyetli MZ DOS yürütülebilir ürünler içeriyor. Bu yükler, Stealer Malware dağıtıyor.”