Blogspot Üzerinden Yayılan ‘Veil#Drop’ Saldırıları: PureLog Stealer Tehdidi Siber Güvenlik

Blogspot Üzerinden Yayılan ‘Veil#Drop’ Saldırıları: PureLog Stealer Tehdidi

Securonix, Blogspot altyapısı üzerinden yayılan Veil#Drop adlı karmaşık bir kötü amaçlı yazılım dağıtım çerçevesi keşfetti. Zincir, PureLog Stealer il

Siber güvenlik firması Securonix, Veil#Drop adını verdiği gelişmiş bir kötü amaçlı yazılım dağıtım çerçevesini ortaya çıkardı. Bu çerçeve, ele geçirilmiş web siteleri ve sosyal mühendislik yöntemlerini kullanarak kullanıcıları bilgi hırsızı yazılımlarla enfekte ediyor. Saldırı zinciri, JavaScript launcher ve PowerShell download cradles kombinasyonunu kullanarak Blogspot üzerinde barındırılan kötü amaçlı yazılımları dağıtıyor. Google’ın güvenilir altyapısı olan Blogspot, bu saldırıda güven zaafiyetinden yararlanmak için kullanılıyor.

Enfeksiyon süreci, belge kılığına girmiş bir JavaScript dosyasıyla başlıyor. Bu dosya, PowerShell kodunu çalıştırarak yürütme politikalarını aşıyor ve saldırganların kontrolündeki Blogspot sayfalarından ek yükleri indiriyor. Blogspot’ta barındırılan yük, bir tuzak belge gösteriyor, belirli işlemleri sonlandırıyor ve gömülü içeriğin şifresini çözüyor. Çözülen kod, yeni Blogspot URL’leri oluşturarak sonraki yükleri doğrudan bellekte çalıştırıyor. Securonix, ikinci aşama yükleyicinin XOR ile kodlanmış .NET assembly’leri içerdiğini ve bunların çalışma zamanında yeniden yapılandırılıp şifresinin çözüldüğünü, böylece statik analizin zorlaştığını belirtiyor.

Saldırı zinciri, güvenilir Microsoft imzalı ikili dosyaları (LOLBIN) kötüye kullanarak kod çalıştırma ve savunma atlatma mekanizmaları içeriyor. Bu sayede geleneksel antivirüs çözümlerini atlatıyor ve adli izleri azaltıyor. Zincirin sonunda, hedef makineye PureLog Stealer bulaşıyor. Bu .NET tabanlı bilgi hırsızı, sistem keşfi yaparak Google Chrome, Microsoft Edge, Firefox, Brave, Opera ve Chromium tabanlı tarayıcılardan veri çalmaya başlıyor. Hedeflenen veriler arasında kimlik bilgileri, çerezler, otomatik doldurma verileri, oturum belirteçleri ve tarayıcı geçmişi yer alıyor.

Sistem Güvenliği

PureLog Stealer ayrıca kripto para cüzdan bilgilerini, mesajlaşma uygulamalarını, e-posta istemcilerini, uzaktan erişim yazılımlarını, FTP istemcilerini, bulut depolama uygulamalarını, geliştirici araçlarını ve şifre yöneticilerini hedef alıyor. Çalınan veriler şifrelenerek saldırgan sunucularına gönderiliyor. Securonix, kurumsal ortamlarda bilgi hırsızlarının genellikle daha büyük saldırıların ilk aşaması olduğunu vurguluyor. Çalınan kimlik bilgileri daha sonra fidye yazılımı dağıtmak, veri hırsızlığı yapmak veya iş e-postası ele geçirme saldırıları düzenlemek için kullanılabiliyor.

Paylaş: