Siber güvenlik araştırmacıları, Google'ın Blogspot platformunu kullanarak PureLog Stealer adlı bilgi hırsızını tamamen bellekte çalıştıran yeni bir dosyasız kötü amaçlı yazılım çerçevesi tespit etti. Securonix Threat Research tarafından 'Veil#Drop' olarak adlandırılan bu çerçeve, saldırganların kimlik bilgilerini çalarken diskte neredeyse hiç iz bırakmamasını sağlıyor. PureLog Stealer bilinen bir .NET bilgi hırsızı olsa da, bu operasyonu farklı kılan çok aşamalı teslimat yoludur.
Saldırı, bir kullanıcının güvenliği ihlal edilmiş bir web sitesinde belge kılığına girmiş bir dosyayı açmasıyla başlıyor. Windows varsayılan olarak bilinen uzantıları gizlediğinden, dosya bir PDF gibi görünüyor ancak aslında Windows Script Host tarafından çalıştırılan bir betik. Bu betik, güvenlik kontrolleri devre dışı bırakılmış olarak PowerShell'i başlatıyor. PowerShell daha sonra sonraki aşamaları doğrudan saldırganların kontrolündeki Blogspot sayfalarından alıp bellekte çalıştırıyor, hiçbir dosyayı diske yazmıyor. Securonix, yüklerin Google'a ait altyapıda barındırılmasının trafiğin normal web etkinliğiyle karışmasına ve itibar tabanlı savunmaları atlatmasına olanak tanıdığını belirtti.
Sonraki aşamalarda içerik özel XOR kodlamasının arkasına gizleniyor ve yalnızca çalışma zamanında çözülüyor. Araştırmacılar, son yükleyicinin kodlanmış verilerden iki .NET derlemesini yeniden oluşturduğunu ve bunları yansıma kullanarak doğrudan belleğe yüklediğini, böylece antivirüsün taraması için hiçbir çalıştırılabilir dosyanın bırakılmadığını söyledi. Yol engellendiğinde bile yükün çalışmasını sağlamak için Veil#Drop, RegSvcs, InstallUtil ve MSBuild gibi Microsoft tarafından imzalanmış güvenilir ikili dosyalara (LOLBIN'ler) yöneliyor ve bunlardan biri başarılı olana kadar döngüye giriyor. Bu ikili dosyalar .NET çerçevesinin meşru parçaları olduğu için etkinlik genellikle uygulama kontrolü ve izin verme listelerini atlatıyor.
Önemli Gelişmeler
Çalıştırıldığında PureLog Stealer, basit kimlik bilgisi hırsızlığının ötesine geçerek tarayıcı parolalarını, çerezleri, otomatik doldurma verilerini, kripto para cüzdanlarını ve ana bilgisayarın kendisi hakkındaki ayrıntıları topluyor. Securonix, çalınan oturum çerezlerinin saldırganların çok faktörlü kimlik doğrulamayı (MFA) atlamasına olanak tanıyabileceği konusunda uyardı. Şirket, bilgi hırsızı yazılımlarının arkasındaki operatörlerin genellikle toplanan kimlik bilgilerini yeraltı pazarlarında sattığını ve diğer tehdit aktörlerinin ele geçirilmiş hesaplara ve ortamlara erişim satın almasına izin verdiğini açıkladı. Securonix, savunmacıları yalnızca statik göstergelere güvenmek yerine PowerShell'in Blogspot'a erişmesi veya .NET yardımcı programlarını başlatması gibi Veil#Drop'un arkasındaki davranışı izlemeye çağırdı.