Dosyasız Kötü Amaçlı Yazılım Google Blogspot'u Kullanarak Bilgi Çalıyor Siber Güvenlik

Dosyasız Kötü Amaçlı Yazılım Google Blogspot'u Kullanarak Bilgi Çalıyor

Veil#Drop adlı dosyasız kötü amaçlı yazılım çerçevesi, Google Blogspot platformunu kullanarak PureLog Stealer'ı bellekte çalıştırıyor ve diskte iz bır...

Siber güvenlik araştırmacıları, Google'ın Blogspot platformunun dosyasız kötü amaçlı yazılım dağıtmak için istismar edildiğini ortaya çıkardı. Securonix Threat Research tarafından Veil#Drop olarak adlandırılan bu saldırı zinciri, PureLog Stealer adlı bilgi hırsızını tamamen bellekte çalıştırarak saldırganların kimlik bilgilerini çalmasına olanak tanırken diskte neredeyse hiç iz bırakmıyor. Araştırmacılar, saldırının tehlikeye atılmış web siteleri, tuzaklı bir JavaScript dosyası ve PowerShell kullanarak hedefe ulaştığını belirtti.

Saldırı, kurbanın tehlikeye atılmış bir web sitesinde belge gibi görünen bir dosyayı açmasıyla başlıyor. Windows varsayılan olarak bilinen uzantıları gizlediği için dosya PDF gibi görünüyor, ancak aslında Windows Script Host tarafından çalıştırılan bir betik. Bu betik, güvenlik kontrolleri devre dışı bırakılmış PowerShell'i başlatıyor. PowerShell daha sonraki aşamaları doğrudan saldırgan tarafından kontrol edilen Blogspot sayfalarından alıp bellekte çalıştırıyor, diske herhangi bir dosya yazmıyor. Securonix, yüklerin Google altyapısında barındırılmasının, trafiğin normal web etkinliğiyle karışmasına ve itibar tabanlı savunmaları atlatmasına olanak tanıdığını belirtti.

Saldırının sonraki aşamaları, içeriklerini özel XOR kodlamasının arkasına gizliyor ve yalnızca çalışma zamanında çözüyor. Araştırmacılar, son yükleyicinin kodlanmış verilerden iki .NET derlemesini yeniden oluşturduğunu ve bunları yansıma kullanarak doğrudan belleğe yüklediğini, böylece antivirüs yazılımının taraması için hiçbir çalıştırılabilir dosyanın bırakılmadığını söyledi. Yükün çalıştırılması engellendiğinde bile, Veil#Drop güvenilir Microsoft imzalı ikili dosyalara (LOLBIN'ler) başvuruyor ve RegSvcs, InstallUtil, MSBuild gibi araçları başarılı olana kadar döngüye sokuyor. Bu ikili dosyalar .NET çerçevesinin meşru parçaları olduğu için uygulama kontrolü ve izin verme kurallarını sıklıkla atlıyor.

Çalıştırıldıktan sonra PureLog Stealer, basit kimlik bilgisi hırsızlığının ötesine geçerek tarayıcı parolalarını, çerezleri, otomatik doldurma verilerini, kripto para cüzdanlarını ve ana bilgisayarın kendisi hakkındaki ayrıntıları topluyor. Securonix, çalınan oturum çerezlerinin saldırganların çok faktörlü kimlik doğrulamayı (MFA) atlamasına olanak tanıyabileceği konusunda uyardı. Şirket, bilgi hırsızı yazılımların arkasındaki operatörlerin genellikle çalınan kimlik bilgilerini yeraltı pazarlarında sattığını ve diğer tehdit aktörlerinin ele geçirilmiş hesaplara ve ortamlara erişim satın almasına izin verdiğini açıkladı. Savunmacıların, PowerShell'in Blogspot'a erişmesi veya .NET araçlarını başlatması gibi Veil#Drop'un arkasındaki davranışları izlemesi gerektiği vurgulandı.

Paylaş: