PureLogs Varyantı, Satın Alma Siparişi Yemleri Yoluyla Veri Çalıyor Linux

PureLogs Varyantı, Satın Alma Siparişi Yemleri Yoluyla Veri Çalıyor

PureLogs bilgi hırsızı kötü amaçlı yazılımının bir çeşidi, Windows sistemlerinde çok aşamalı bir enfeksiyon zinciri başlatmak için kötü amaçlı bir Jav...

PureLogs bilgi hırsızı kötü amaçlı yazılımının bir çeşidi, Windows sistemlerinde çok aşamalı bir enfeksiyon zinciri başlatmak için kötü amaçlı bir JavaScript dosyası kullanan, satın alma siparişi temalı kimlik avı e-postaları yoluyla dağıtıldı.

FortiGuard Labs'ın yeni analizine göre kampanya, RAR arşivi eklenmiş sahte bir satın alma siparişi mesajı kullanıyor.

Arşiv, yürütme zincirini başlatmak için kullanılan kötü amaçlı bir JavaScript dosyası içeriyor.

Uzmanların Görüşleri

JavaScript ve PowerShell Yürütme

Kimlik avı e-postası, alıcıya, sözde satın alma siparişini görüntülemek için arşivi açmasını söyler.

FortiGuard Labs, e-postanın konu alanında "virüs algılandı" olarak işaretlendiğini ve FortiMail tarafından engellendiğini, bunun da analiz edilen vakada teslimatı engellediğini söyledi.

FortiGuard Labs, laboratuvar ortamında JavaScript dosyasının yürütüldükten sonra PowerShell kodunu çözdüğünü ve bunu C:\Temp klasöründeki rastgele adlandırılmış bir .ps1 dosyasına yazdığını gözlemledi.

Sonuç ve Değerlendirme

Komut dosyası daha sonra yürütme politikası atlanarak, profil yüklenmeden ve pencere gizlenerek PowerShell.exe aracılığıyla çalıştırıldı.

PowerShell tabanlı kötü amaçlı yazılım hakkında daha fazlasını okuyun: Sahte Gemini ve Claude Kod Siteleri, SEO Zehirlenmesi Yoluyla Bilgi Hırsızlarını Yayıyor

Bırakılan PowerShell dosyası Base64 ile kodlanmış ve şifrelenmiş veriler içeriyordu. FortiGuard Labs, içeriğin kodunu çözdüğünü, rotasyonlu XOR yöntemiyle şifresini çözdüğünü ve sonucu dosyasız bir PowerShell betiği olarak çalıştırdığını söyledi.

Bu komut dosyası, bellekteki iki .NET modülünü çıkardı ve kötü amaçlı yazılımı bağımsız bir yürütülebilir dosya olarak başlatmak yerine, meşru bir Windows işlemi olan MsBuild.exe içindeki yükü çalıştırmak için işlem boşluğunu kullandı.

Teknik Analiz

PureLogs Kimlik Bilgilerini ve Cüzdanları Hedefliyor

Enjekte edilen .NET modülü, yerleşik bir kaynaktan bir indirici bileşeni yükledi, Veri Şifreleme Standardını (DES) kullanarak şifresini çözdü ve bellekteki sıkıştırmayı açtı. İndirici daha sonra bir komuta ve kontrol (C2) sunucusuyla iletişime geçti ve bir eklenti modülü talep etti.

Önemli Gelişmeler

FortiGuard Labs, indirilen eklentinin dosyasız bir PureLogs çeşidi olduğunu belirledi. Modül, virüs bulaşmış sistemlerden hassas verileri sıkıştırmadan, şifrelemeden ve C2 sunucusuna geri göndermeden önce toplamak üzere tasarlanmıştır.

Toplanan veriler şunları içerir:

Detaylar ve Etkileri

Sistem ayrıntıları ve ekran görüntüleri

Nasıl Önlem Alınmalı?

Tarayıcı kimlik bilgileri, çerezler ve oturum belirteçleri

Gelecekte Ne Bekleniyor?

Discord kimlik doğrulama verileri

Kripto para cüzdanı dosyaları ve anahtarları

Sistem Güvenliği

Outlook, FileZilla, OpenVPN ve ProtonVPN dahil uygulamalardan alınan kimlik bilgileri

PureLogs modülü, aralarında Google Chrome, Microsoft Edge, Brave, Opera, Yandex Tarayıcı, Mozilla Firefox, Waterfox ve LibreWolf'un da bulunduğu çok çeşitli tarayıcıları hedef aldı. Ayrıca kurbanın şifresi olmadan hesaba erişime izin verebilecek belirteçler için Discord dizinlerini de taradı.

Rapor, kuruluşlara e-posta filtrelemeyi zorunlu kılmalarını, gereksiz komut dosyası yürütmelerini kısıtlamalarını ve anormal PowerShell etkinliğini ve süreç boşluklarını izlemelerini tavsiye etti. FortiGuard Labs ayrıca kampanya için risk göstergeleri (IoC'ler) ve tespit ayrıntılarını da yayınladı.

Paylaş: