Morphisec Threat Labs araştırmacıları kısa bir süre önce, YouTube videoları aracılığıyla Aurora bilgi hırsızı kötü amaçlı yazılımı dağıtan “in2al5d p3in4er” (Geçersiz Yazıcı) adlı sinsi bir yükleyiciyi ortaya çıkardı.
Embarcadero RAD Studio ile oluşturulmuş in2al5d p3in4er yükleyici, gelişmiş bir sanal makine önleme tekniği kullanarak özellikle uç nokta iş istasyonlarını hedefler.
Aurora, 2022’nin sonlarında tehdit ortamında ilk kez ortaya çıktı ve Go programlama dilinde yazılmış bir bilgi hırsızı.
Bir Dağıtım Platformu Olarak YouTube’u Kötüye Kullanmak
Aurora, sahte crackli yazılım indirme siteleri ve YouTube videoları aracılığıyla onu kullanmak isteyen diğer tehdit aktörlerine dağıtılan ticari bir kötü amaçlı yazılımdır.
YouTube, hassas bilgilere erişmek için kötü amaçlı yazılım yaymak isteyen tehdit aktörleri için çekici bir dağıtım platformu haline geldi.
Kitlesel popülaritesi nedeniyle YouTube, tehdit aktörlerinin ilk tercihlerinden biri haline geldi.
Bilgisayar korsanları, popüler YouTube hesaplarını ele geçirerek ve güvenliği ihlal edilmiş bu hesaplar veya kanallar aracılığıyla kötü amaçlı bağlantılar veya indirmeler içeren videolar yayınlayarak kötü amaçlı yazılımları yaymanın yeni bir yolunu buldu.
Bilgisayar korsanları ayrıca videoların arama sonuçlarındaki görünürlüğünü artırmak için optimize edilmiş SEO etiketleri kullanırken, bu da tıklama oranını (TO) artıracaktır.
Tehdit aktörleri, YouTube hesaplarını bir ücret karşılığında çalarak aktif olarak önemli miktarda gelir elde ettiklerinden, bu hizmetler artık bilgisayar korsanları tarafından çeşitli yeraltı forumlarında ve pazar yerlerinde aktif olarak pazarlanmaktadır.
Hizmet tarafından videolar oluşturmak için yapay zeka (AI) kullanılır, bu da ikna edici görünen bütçe destekli içerik oluşturmayı daha kolay ve daha hızlı hale getirir.
YouTube video açıklamalarındaki bağlantılara tıklayan kurbanlar, meşru yazılım kılığında kötü amaçlı yazılım indirmeleri için onları kandıran sahte web sitelerine yönlendirilir.
Meşru görünmek için, bu sahte web siteleri gerçek oldukları yanılsamasını yaratmak için aşağıdakileri kullanır:-
- benzer URL’ler
- benzer logolar
- benzer markalama
Bu aldatıcı web siteleri, kullanıcıları kötü amaçlı yazılım içeren uygulamaları indirmeye ve hassas veya kişisel bilgilerini girmeleri için kandırmaya ikna eder.
Teknik Analiz
Morphisec, bu yükleyicinin bir sistemin grafik kartının satıcı kimliğini kontrol ettiğini ve değer aşağıdakileri içeren onaylanmış kimlikler listesiyle eşleşmezse kendisini sonlandırdığını iddia etti:-
Yükleyici, “işlem boşaltma” adı verilen bir teknik kullanarak son yükün şifresini çözer ve onu “sihost.exe” adlı gerçek bir işleme enjekte eder.
Yükleyici, meşru sürece son yükü enjekte ederken, gerekli tüm Windows API’sinin şifresini dinamik olarak çözer ve ‘ XOR anahtarını kullanır.in2al5d p3in4er‘ API adlarının şifresini çözmek için.
Yükleyici, çeşitli platformlarda kullanılabilecek yürütülebilir dosyalar oluşturmak için Embarcadero RAD Studio’yu kullanır, bu da güvenlik yazılımı tarafından algılanmaktan kurtulmasına yardımcı olur.
in2al5d p3in4er gibi kötü amaçlı yazılım yükleyiciler, bir saldırının yapı taşlarıdır ve saldırgan ile güvenliği ihlal edilmiş sistem arasında ilk dayanağı sağlar.
Daha karmaşık ve zarar verici yüklerin teslimini kolaylaştıran çok önemli bir ilk aşama olarak hizmet ediyorlar.
Tehdit aktörleri sorumludur in2al5d p3in4er Kötü amaçlı yazılımlar, sosyal mühendislik taktiklerinden yararlanıyor ve bunları önemli bir etki yaratmak için kötü amaçlı yazılımlarla birlikte kullanıyor.
Görüntüleyenleri sahte ve meşru görünen web sitelerine yönlendirmek için popüler YouTube hesaplarını hedeflerler.
in2al5d p3in4er saldırılarını önlemek için çalışanları sosyal mühendislik şemalarını belirleme konusunda eğitmek çok önemlidir.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
Ayrıca Oku
Windows, Linux ve IoT Cihazlarını Etkileyen Yeni DDoS Botnet Kötü Amaçlı Yazılımı
Yeni Karanlık Web Web Sitesi, Bilgisayar Korsanlarının Android Uygulamalarını Meşru Hale Getirmek İçin Kötü Amaçlı Yazılım Yerleştirmesine İzin Veriyor
FFDroider Stealer Kötü Amaçlı Yazılım Facebook, Instagram ve Twitter Hesap Kimlik Bilgilerini Çalıyor