Siber güvenlik firması Securonix, 'Veil#Drop' adını verdikleri sofistike bir kötü amaçlı yazılım dağıtım çerçevesini keşfetti. Bu çerçeve, güvenliği ihlal edilmiş web siteleri ve sosyal mühendislik yöntemlerini kullanarak kullanıcıları bilgi hırsızı yazılımlarla enfekte ediyor. Saldırı zinciri, JavaScript başlatıcıları ve PowerShell indirme kabuklarını birleştirerek Google'ın güvenilir altyapısı olan Blogspot'ta barındırılan kötü amaçlı yazılımları dağıtıyor.
Enfeksiyon süreci, belge gibi görünen bir JavaScript dosyasıyla başlıyor. Bu dosya, PowerShell kodunu çalıştırmak ve yürütme politikalarını atlatmak için tasarlanmış. PowerShell, saldırganların kontrolündeki Blogspot sayfalarından ek yükler alıyor. Blogspot'ta barındırılan yük, bir tuzak belge görüntülüyor, belirli işlemleri sonlandırıyor ve gömülü içeriğin şifresini çözüyor. Çözülen kod, ek Blogspot URL'leri oluşturuyor ve sonraki yükleri doğrudan bellekte çalıştırıyor.
Securonix'e göre, ikinci aşama yükleyici, XOR ile kodlanmış .NET derlemelerini büyük gömülü veri blokları olarak içeriyor. Bu bloklar çalışma zamanında yeniden yapılandırılıp şifreleri çözülüyor, böylece statik analiz ve imza tabanlı tespit mekanizmaları etkisiz hale getiriliyor. Ayrıca saldırı zincirinde, güvenilir Microsoft imzalı ikili dosyaların kötüye kullanıldığı çeşitli yedekleme mekanizmaları bulunuyor.
Sistem Güvenliği
Saldırının sonunda, kurbanın makinesine PureLog Stealer bulaşıyor. Bu .NET tabanlı bilgi hırsızı, sistem keşfi yaparak Google Chrome, Microsoft Edge, Firefox, Brave Browser, Opera ve Chromium tabanlı tarayıcılardan veri toplamaya başlıyor. Kimlik bilgileri, çerezler, otomatik doldurma verileri, oturum belirteçleri ve kripto para cüzdan bilgileri gibi hassas verileri hedef alıyor. Ayrıca mesajlaşma uygulamaları, e-posta istemcileri, uzaktan erişim yazılımları ve şifre yöneticilerinden de veri topluyor. Bu kapsamlı veri toplama yeteneği, tek bir enfekte iş istasyonunun daha büyük bir ağ saldırısına zemin hazırlayabileceği anlamına geliyor.