Siber suçluların, Avustralya’daki hedeflere Cobalt Strike işaretlerini göndermek için popüler VLC multimedya oynatıcısını kötüye kullandıkları keşfedildi.
Kampanya, SEO zehirlenmesini ve Gootkit yükleyici kötü amaçlı yazılımını içeriyor (yeni sekmede açılır) ve Avustralya’da sağlık kurumlarını arayan kurbanları hedefler.
Kötü amaçlı yazılım Trend Micro tarafından keşfedildi ve tehdit aktörlerinin, bir kullanıcının bir sorguya yanıt olarak bir ZIP arşivi içinde sağlıkla ilgili bir sözleşme belgesi şablonunu paylaştığı, forum gibi görünecek şekilde tasarlanmış kötü amaçlı bir web sitesini nasıl oluşturduğu açıklandı.
“Zehirlenme” arama motoru sonuç sayfaları
Ardından, web sitesinin Google’da üst sıralarda yer almasını sağlamak için, kötü amaçlı sitenin bağlantısını olabildiğince çok çevrimiçi makaleye ve sosyal medya gönderisine ekleyerek arama motoru sonuç sayfalarını “zehirlediler”.
Bir web sitesine yoğun bir şekilde bağlantı verildiğinde, Google’ın algoritması onu yetkili olarak algılar ve sonuç sayfalarında daha yukarılara iter. Bu kampanyada araştırmacılar, kötü amaçlı web sitesinin “hastane”, “sağlık”, “tıbbi” ve “anlaşma” gibi tıpla ilgili anahtar kelimelerde Avustralya’daki şehirlerin adlarıyla birlikte üst sıralarda yer aldığını buldu.
Bu oyuna kanan ve kötü amaçlı ZIP arşivini uç noktalarına indiren kurbanlar, aslında daha sonra hedef cihaza daha fazla kötü amaçlı yazılım indiren bir PowerShell komut dosyası bırakan Gootkit yükleyici bileşenlerini alır. Yükleyicinin kaptığı dosyalar arasında, VLC ortam yürütücüsünün yasal, imzalı bir kopyası ve tetiklendiğinde Cobalt Strike işaretini dağıtan kötü amaçlı bir DLL dosyası bulunur.
VLC media player dosyası, Microsoft Distributed Transaction Coordinator (MSDTC) hizmeti olarak gösterilir. Kullanıcı çalıştırırsa, VLC DLL dosyasını arar ve çalıştırır ve genellikle yandan yükleme saldırısı olarak bilinen cihaza bulaşır.
Cobalt Strike, kullanıcının kurban makinesine ‘Beacon’ adlı bir ajan yerleştirmesine izin veren ticari bir sızma testi aracıdır. Siber suçlular bunu hedef ağı taramak, yanal hareket etmek, parolaları ve diğer hassas verileri çalmak ve daha yıkıcı kötü amaçlı yazılımları dağıtmak için kullanır. Cobalt Strike işaretlerini genellikle bir fidye yazılımı saldırısı takip eder.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)