Dosyasız Kötü Amaçlı Yazılım, Bilgi Hırsızını Bellekte Yerleştirmek İçin Google Blogspot'u Kötüye Kullanıyor Yazılım

Dosyasız Kötü Amaçlı Yazılım, Bilgi Hırsızını Bellekte Yerleştirmek İçin Google Blogspot'u Kötüye Kullanıyor

Dosyasız bir kötü amaçlı yazılım çerçevesi, PureLog Stealer'ı tamamen bellekte sunmak için Google'ın Blogspot platformunu kötüye kullanıyor ve saldırg...

Dosyasız bir kötü amaçlı yazılım çerçevesi, PureLog Stealer'ı tamamen bellekte sunmak için Google'ın Blogspot platformunu kötüye kullanıyor ve saldırganların diskte çok az iz bırakarak kimlik bilgilerini çalmasına olanak tanıyor.

Çerçeveye Veil#Drop adını veren Securonix Tehdit Araştırması, kampanyanın hedefine ulaşmak için tehlikeye atılmış web sitelerini, bubi tuzaklı bir JavaScript dosyasını ve PowerShell'i bir araya getirdiğini söyledi.

PureLog Stealer bilinen bir .NET bilgi hırsızıdır, ancak çok aşamalı teslimat rotası bu operasyonu farklı kılan şeydir.

Tespit edilmekten kaçınmak için oluşturulmuş dosyasız bir zincir

Saldırı, ele geçirilen bir web sitesindeki bir kurbanın, belge gibi görünen bir dosyayı açmasıyla başladı. Windows varsayılan olarak bilinen uzantıları gizlediğinden, bir PDF gibi görünüyordu, ancak aslında Windows Komut Dosyası Ana Bilgisayarının çalıştırdığı ve PowerShell'i güvenlik kontrolleri devre dışı bırakılarak başlatan bir komut dosyasıydı.

Uzmanların Görüşleri

Buradan PowerShell sonraki aşamalarını doğrudan saldırgan tarafından kontrol edilen Blogspot sayfalarından aldı ve bunları diske herhangi bir dosya yazmadan bellekte çalıştırdı.

Firma, yüklerin Google'a ait altyapı üzerinde barındırılmasının, trafiğin normal web etkinliğine karışmasına ve itibara dayalı savunmaların aşılmasına olanak sağladığını söyledi.

Sistem Güvenliği

PureLogs teslimatı hakkında daha fazlasını okuyun: PureLogs Variant, Satın Alma Siparişi Yemleri Yoluyla Veri Çalıyor

Daha sonraki aşamalar, içeriklerini özel XOR kodlamasının arkasına sakladı ve kodu yalnızca çalışma zamanında çözüldü. Araştırmacılar, son yükleyicinin kodlanmış verilerden iki .NET derlemesini yeniden oluşturduğunu ve yansımayı kullanarak bunları doğrudan belleğe yüklediğini, böylece antivirüsün taraması için hiçbir yürütülebilir dosyanın bırakılmadığını söyledi.

Veil#Drop, yol engellendiğinde bile veri yükünün çalışmasını sağlamak için güvenilir Microsoft imzalı ikili dosyalara veya LOLBIN'lere başvurdu ve biri başarılı olana kadar RegSvcs, InstallUtil ve MSBuild gibi yardımcı programlar arasında geçiş yaptı.

Nasıl Önlem Alınmalı?

Bu ikili dosyalar .NET çerçevesinin yasal parçaları olduğundan, etkinlik genellikle uygulama kontrolü ve izin verilenler listesine ekleme kurallarının ötesine geçiyordu.

PureLog'un Çaldığı Şeyler

PureLog Stealer çalıştırıldıktan sonra basit kimlik bilgisi hırsızlığının ötesine geçerek tarayıcı şifrelerini, çerezleri, otomatik doldurma verilerini, kripto para cüzdanlarını ve ana bilgisayarın ayrıntılarını tarayarak makineyi taradı.

Sonuç ve Değerlendirme

Securonix, çalınan oturum çerezlerinin, saldırganların kurbanın oturum açtığı oturumu yeniden kullanarak çok faktörlü kimlik doğrulamayı (MFA) atlamasına olanak verebileceği konusunda uyardı.

Şirket, "Çoğu durumda, bilgi çalan kötü amaçlı yazılımların arkasındaki operatörler, toplanan kimlik bilgilerini yeraltı pazarları aracılığıyla satarak diğer tehdit aktörlerinin ele geçirilen hesaplara ve ortamlara erişim satın almasına olanak tanıyor" dedi.

Securonix ayrıca savunucuları, yalnızca statik göstergelere güvenmek yerine PowerShell'in Blogspot'a ulaşması veya .NET yardımcı programlarını ortaya çıkarması gibi Veil#Drop'un ardındaki davranışları izlemeye çağırdı.

Paylaş: