Son zamanlarda steganografik teknikler kullanan gelişmiş bir kötü amaçlı yazılım kampanyası tanımlanmış ve kullanıcıları masum JPEG görüntü dosyaları aracılığıyla hedefleyen tanımlanmıştır.
Saldırı, yürütüldüğünde, kurbanların sistemlerinden hassas bilgileri çalmak için tasarlanmış karmaşık bir olaylar zincirini başlatan görüntü dosyalarına gömülü gizli kötü amaçlı kodlardan yararlanır.
Bu yeni tehdit, sosyal mühendisliği gelişmiş gizleme teknikleriyle birleştiren kötü amaçlı yazılım dağıtım yöntemlerinde ilgili bir evrimi temsil etmektedir.
Saldırı, kurbanların standart bir JPEG dosyası gibi görünen şeyi indirmeye çekilmesiyle başlar.
Bununla birlikte, bu görüntüler geleneksel güvenlik önlemleri için tespit edilemeyen gizli kötü amaçlı komut dosyaları içerir.
Meydan okulu dosyaya erişildikten sonra, gömülü kod arka planda sessizce etkinleştirilir.
Broadcom analistleri, kötü amaçlı yazılımın, görüntü dosyasından gizli yükün çıkarılmasıyla başlayan çok aşamalı bir enfeksiyon süreci kullandığını tespit etti.
Araştırmacılar teknik analizlerinde “Bu kampanyada kullanılan steganografik teknik özellikle sofistike, geleneksel güvenlik araçları için zorlayıcı hale getiriyor” dedi.
Yürütme üzerine, kötü amaçlı yazılım tarayıcılar, e -posta istemcileri ve FTP uygulamalarında kimlik bilgilerini hedefler.
Çıkarılan veriler daha sonra VIDAR, Raccoon ve Redline gibi bilinen Infostealer ailelerinin özelleştirilmiş sürümleri de dahil olmak üzere ek yükler indirilirken komut ve kontrol sunucularına eklenir.
Saldırı analizi
Kötü amaçlı yazılım yazarları, tespitten kaçınmak için PowerShell komut dosyaları içinde Base64 kodlaması da dahil olmak üzere gelişmiş gizleme tekniklerini kullanmıştır.
İlk komut dosyası, JPEG dosyasından çıkarıldıktan sonra, en az görünürlükle komutları yürütmek için Windows Script Ana bilgisayar kullanır.
Tanımlanan kötü amaçlı kod, çerez dosyalarını, kaydetmiş şifreleri ve form verilerini hedefleyen belirli işlevler ile birden çok tarayıcıdan kimlik bilgilerinin hasat edilmesi için talimatlar içerir.
Bu tehdide karşı koruma, ACM.PS-Base64! G1, ISB.Downloader! Gen80 ve heur.advml.b dahil olmak üzere belirli algılama imzaları ile çeşitli güvenlik ürünleri aracılığıyla mevcuttur.
Kullanıcılara güvenilmeyen kaynaklardan görüntü dosyalarını indirirken dikkatli olmaları ve güvenlik çözümlerinin en son tanımlarla güncellenmesini sağlamaları önerilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free