Siber güvenlik araştırmacıları, sosyal mühendislik ve Google'ın Blogger platformunu kullanarak PureLogs adlı bir bilgi hırsızı (stealer) dağıtan yeni bir çok aşamalı kötü amaçlı yazılım dağıtım zinciri tespit etti. Securonix tarafından VEIL#DROP olarak adlandırılan bu faaliyetin, ilk aşamada hedefli oltalama (spear-phishing) veya sürükleme (drive-by) saldırılarıyla başladığı düşünülüyor. Kullanıcı farkında olmadan saldırganın kontrolündeki bir web sitesine girdiğinde, enfeksiyon süreci başlıyor.
Enfeksiyon zinciri, bir belge gibi görünen (örneğin transcript.pdf.js) JavaScript dosyasıyla başlıyor. Bu dosya, Windows Script Host aracılığıyla çalışıyor ve yürütme politikasını atlayarak PowerShell'i başlatıyor. PowerShell betiği, bir sonraki aşamadaki yükü Blogger'da barındırılan bir sayfadan ('htlwub00klocate.blogspot[.]com') indiriyor. Bu sayede saldırganlar, Google'ın güvenilir altyapısını kötüye kullanarak itibar tabanlı savunmaları aşıyor ve meşru web trafiğine karışıyor.
İndirilen PowerShell yükü, Google gibi zararsız bir web sayfasını yükleyerek kullanıcıya bir PDF belgesinin açıldığı izlenimi verirken, enfeksiyon süreci arka planda sessizce devam ediyor. Sonuçta, .NET tabanlı bir bilgi hırsızı olan PureLogs Stealer devreye giriyor. PureLogs, hassas verileri (kimlik bilgileri, kripto para cüzdanları, vb.) toplamak için tasarlanmış bir kötü amaçlı yazılım olarak biliniyor. Securonix, bu stealer'ın PureCoder adlı bir tehdit aktörü tarafından hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle sunulduğunu belirtiyor.
VEIL#DROP çerçevesinin en dikkat çekici özelliklerinden biri, dinamik aşama oluşturma ve çalışma zamanı mutasyonu kullanması. Kötü amaçlı yazılım, her yürütme için benzersiz bir blogspot[.]com URL'si oluşturarak statik URL imzalarını ve filtrelemelerini atlatıyor. Ayrıca, betik içindeki yer tutucuları rastgele değerlerle değiştirerek çalışma zamanı mutasyonu uyguluyor. Bu sayede geleneksel antivirüs çözümlerini atlatıyor ve adli izleri azaltıyor. Saldırganlar, Microsoft tarafından imzalanmış güvenilir ikili dosyaları (LOLBin) kullanarak fark edilmeden kalıyor.