Blogspot'ta Barındırılan Yükler 'Veil#Drop' Saldırılarında Sağlandı Yazılım

Blogspot'ta Barındırılan Yükler 'Veil#Drop' Saldırılarında Sağlandı

Securonix, kullanıcılara bilgi hırsızları bulaştırmak için güvenliği ihlal edilmiş web sitelerini ve sosyal mühendisliği kullanan çok aşamalı, gelişmi...

Securonix, kullanıcılara bilgi hırsızları bulaştırmak için güvenliği ihlal edilmiş web sitelerini ve sosyal mühendisliği kullanan çok aşamalı, gelişmiş bir kötü amaçlı yazılım dağıtım çerçevesini ortaya çıkardı.

Veil#Drop olarak adlandırılan çerçeve, Google'ın güvenilir altyapısı olan Blogspot'ta barındırılan kötü amaçlı yazılımların dağıtımı ve yürütülmesi için JavaScript başlatıcılarını ve PowerShell indirme yuvalarını birleştirir.

Bulaşma zinciri, PowerShell kodunu başlatmak ve yürütme politikalarından kaçınmak için tasarlanmış, belge gibi görünen bir JavaScript dosyasıyla başlar. PowerShell, saldırgan tarafından kontrol edilen Blogspot sayfalarından ek veriler alır.

Blogspot tarafından barındırılan veri, sahte bir belge görüntüler, belirli süreçleri sonlandırır ve gömülü içeriğin şifresini çözer. Kodu çözülen kod, ek Blogspot URL'leri oluşturur ve sonraki yükleri doğrudan bellekte yürütür.

Securonix, "İkinci aşama yükleyici, çalışma zamanında yeniden oluşturulan ve şifresi çözülen büyük gömülü veri blobları olarak depolanan XOR kodlu .NET derlemelerini içerir, bu da basit statik analizi önler ve imza tabanlı algılama mekanizmalarının etkinliğini azaltır" diye açıklıyor.

Gelecekte Ne Bekleniyor?

Gelişmiş enfeksiyon zinciri ayrıca, kod yürütme ve savunmadan kaçınma amacıyla güvenilir Microsoft imzalı ikili dosyaları kötüye kullanan çeşitli geri dönüş mekanizmaları da içerir.

Reklamcılık. Okumaya devam etmek için kaydırın.

Sonuç ve Değerlendirme

Securonix, "Güvenliği ihlal edilmiş web siteleri, çoklu uzantı maskeleme, güvenilir bulut hizmetleri, XOR ile gizlenmiş veriler, yansıtıcı .NET yükleme, dosyasız yürütme ve LOLBIN kötüye kullanımı kombinasyonu, geleneksel antivirüs çözümlerinden kaçınmak, adli yapay yapıları azaltmak ve enfeksiyon yaşam döngüsü boyunca operasyonel gizliliği sürdürmek için kasıtlı bir çaba gösteriyor" diye belirtiyor.

Sonunda kurbanın makinesine, sistem keşfi gerçekleştiren ve Google Chrome'dan veri toplamaya başlayan .NET tabanlı bir bilgi hırsızı olan PureLog Stealer bulaşır. Microsoft Edge, Firefox, Brave Tarayıcı, Opera ve Chromium tabanlı tarayıcılar.

Uzmanların Görüşleri

Kötü amaçlı yazılım, tarayıcılarda depolanan kimlik bilgilerini, çerezleri, otomatik doldurma verilerini, oturum belirteçlerini, göz atma geçmişlerini ve diğer hassas bilgileri hedefler. Ayrıca kurbanın makinesindeki kripto para cüzdanı bilgilerini de arar.

PureLog Stealer ayrıca mesajlaşma uygulamalarından, e-posta istemcilerinden, uzaktan erişim yazılımlarından, FTP istemcilerinden, bulut depolama uygulamalarından, geliştirici araçlarından ve parola yöneticilerinden bilgi toplayabilir. Kötü amaçlı yazılım, toplanan bilgileri paketler ve şifrelenmiş biçimde saldırganın kontrolündeki sunuculara gönderir.

Nasıl Önlem Alınmalı?

PureLog Stealer'ın kapsamlı veri toplama yetenekleri göz önüne alındığında, virüs bulaşmış tek bir iş istasyonu, sistemde depolanan kimlik bilgilerine, belirteçlere, anahtarlara ve diğer sırlara bağlı olarak daha geniş bir ortam ihlaline yol açabilir.

Securonix, "Kurumsal ortamlarda, bilgi hırsızları genellikle daha büyük izinsiz giriş kampanyalarının ilk aşamasını oluşturur. Çalınan kimlik bilgileri daha sonra fidye yazılımı dağıtmak, veri hırsızlığı operasyonlarını yürütmek, iş e-postasını tehlikeye atacak saldırılar gerçekleştirmek veya uzun vadeli casusluk faaliyetlerini kolaylaştırmak için kullanılabilir" diye belirtiyor.

Sistem Güvenliği

İlgili: Kötü Amaçlı Yazılım Dağıtımı İçin İstismar Edilen Kritik SimpleHelp Güvenlik Açığı

İlgili: CryptoBandits Kötü Amaçlı Yazılımı Arka Kapı Olarak İkiye Katlanıyor, Tor'u Kötüye Kullanıyor

Önemli Gelişmeler

İlgili: Rokarolla Bankacılık Truva Atı 200 Uygulamayı Hedefliyor

Detaylar ve Etkileri

İlgili: Bilgi Hırsızları Milyonlarca Cihazı Kimlik Bilgisi Hırsızlığı Makinelerine Dönüştürüyor

Paylaş: