Google Blogspot Üzerinden Bellekte Çalışan PureLog Stealer Tehdidi: Veil#Drop Siber Güvenlik

Google Blogspot Üzerinden Bellekte Çalışan PureLog Stealer Tehdidi: Veil#Drop

Veil#Drop adlı dosyasız zararlı yazılım, Google Blogspot'u kullanarak PureLog Stealer'ı bellekte çalıştırıyor, kimlik bilgilerini çalıyor ve diskte iz

Siber güvenlik araştırmacıları, Google'ın Blogspot platformunu kullanarak tamamen bellek içinde çalışan ve PureLog Stealer adlı bilgi hırsızını hedef sistemlere bulaştıran yeni bir dosyasız zararlı yazılım çerçevesi tespit etti. Securonix Threat Research tarafından Veil#Drop olarak adlandırılan bu kampanya, saldırganların kimlik bilgilerini çalmasına olanak tanırken diskte çok az iz bırakıyor.

Saldırı zinciri, güvenliği ihlal edilmiş bir web sitesinde PDF gibi görünen bir dosyanın açılmasıyla başlıyor. Windows'un varsayılan olarak bilinen uzantıları gizlemesi nedeniyle kullanıcı dosyayı PDF sanıyor ancak aslında bu bir betik dosyası. Windows Script Host tarafından çalıştırılan bu betik, güvenlik kontrolleri devre dışı bırakılmış şekilde PowerShell'i başlatıyor. PowerShell, bir sonraki aşamayı saldırganların kontrol ettiği Blogspot sayfalarından doğrudan belleğe yüklüyor.

Securonix araştırmacıları, sonraki aşamalardaki yüklerin özel XOR kodlamasıyla gizlendiğini ve yalnızca çalışma zamanında çözüldüğünü belirtti. Son yükleyici, kodlanmış veriden iki .NET derlemesini yeniden oluşturup yansıma kullanarak belleğe yüklüyor, böylece antivirüs taraması için diske hiçbir yürütülebilir dosya bırakılmıyor. Ayrıca, ana yol engellendiğinde, Veil#Drop güvenilir Microsoft imzalı ikili dosyaları (RegSvcs, InstallUtil, MSBuild gibi) kullanarak yükü çalıştırmaya devam ediyor.

Sistem Güvenliği

PureLog Stealer, çalıştırıldığında sadece basit kimlik bilgisi hırsızlığı yapmıyor; tarayıcı şifreleri, çerezler, otomatik doldurma verileri, kripto para cüzdanları ve ana bilgisayar bilgilerini topluyor. Securonix, çalınan oturum çerezlerinin çok faktörlü kimlik doğrulamayı (MFA) atlamak için kullanılabileceği uyarısında bulundu. Güvenlik ekiplerine, yalnızca statik göstergelere güvenmek yerine PowerShell'in Blogspot'a erişmesi veya .NET araçlarını başlatması gibi davranışları izlemeleri öneriliyor.

Paylaş: