FortiGuard Labs tarafından yapılan yeni bir analize göre, PureLogs bilgi hırsızı kötü amaçlı yazılımının bir varyantı, sahte satın alma siparişi temalı kimlik avı e-postaları aracılığıyla yayılıyor. Bu e-postalar, Windows sistemlerinde çok aşamalı bir enfeksiyon zinciri başlatmak için kötü amaçlı bir JavaScript dosyası kullanıyor. Kampanya, alıcıları bir RAR arşivini açmaya yönlendiren sahte bir sipariş mesajı içeriyor. Arşivdeki JavaScript dosyası, PowerShell kodunu çözerek C:\Temp klasörüne .ps1 dosyası olarak yazıyor ve ardından PowerShell.exe ile gizli bir şekilde çalıştırıyor.
Düşürülen PowerShell dosyası, Base64 kodlu ve şifreli veriler içeriyor. FortiGuard Labs, bu verileri çözerek XOR-rotasyon yöntemiyle şifresini çözmüş ve sonucu dosyasız bir PowerShell betiği olarak çalıştırmış. Bu betik, bellekte iki .NET modülü çıkarıyor ve MsBuild.exe gibi meşru bir Windows sürecine enjekte etmek için süreç oyuklaştırma (process hollowing) kullanıyor. Böylece kötü amaçlı yazılım, bağımsız bir yürütülebilir dosya olarak değil, meşru bir sürecin içinde gizlice çalışıyor.
Enjekte edilen .NET modülü, gömülü bir kaynaktan indirici bileşenini yüklüyor, DES şifrelemesiyle çözüyor ve bellekte sıkıştırmasını açıyor. Ardından indirici, bir komuta ve kontrol (C2) sunucusuna bağlanarak bir eklenti modülü talep ediyor. Bu eklenti, dosyasız bir PureLogs varyantı olarak tanımlanıyor. Modül, enfekte sistemlerden hassas verileri toplamak, sıkıştırmak, şifrelemek ve C2 sunucusuna göndermek üzere tasarlanmış. Toplanan veriler arasında sistem bilgileri, ekran görüntüleri, pano içerikleri, tarayıcı kimlik bilgileri, çerezler, Discord kimlik doğrulama verileri ve kripto para cüzdan dosyaları bulunuyor.
Sistem Güvenliği
PureLogs modülü, Google Chrome, Microsoft Edge, Brave, Opera, Yandex Browser, Mozilla Firefox, Waterfox ve LibreWolf dahil çok sayıda tarayıcıyı hedef alıyor. Ayrıca Discord dizinlerini tarayarak şifre gerektirmeden hesap erişimi sağlayabilecek token'ları arıyor. FortiGuard Labs, kuruluşlara e-posta filtrelemeyi zorunlu kılmalarını, gereksiz betik yürütmeyi kısıtlamalarını ve anormal PowerShell etkinliği ile süreç oyuklaştırmayı izlemelerini öneriyor. Ayrıca kampanya için tehlike göstergeleri (IoC'ler) ve tespit detayları yayınladı.