Sinsi yeni bir bilgi hırsızı, Zoom ve AnyDesk gibi popüler uzaktan çalışma yazılımları için indirme siteleri gibi görünen Google Ads’den web sitesi yönlendirmeleri aracılığıyla kullanıcı makinelerine kayıyor.
Cyble’dan araştırmacılara göre, yeni kötü amaçlı yazılım türü “Rhadamanthys Stealer”ın arkasındaki tehdit aktörleri – hizmet olarak kötü amaçlı yazılım modeliyle Dark Web’de satın alınabiliyor – yüklerini yaymak için iki dağıtım yöntemi kullanıyor bir blog gönderisinde ortaya çıktı 12 Ocak’ta yayınlandı.
Bunlardan biri, yalnızca Zoom için değil, aynı zamanda AnyDesk, Notepad++ ve Bluestacks için indirme sitelerinin kimliğine bürünen, özenle hazırlanmış kimlik avı siteleridir. Araştırmacılar, diğerinin, kötü amaçlı yazılımı kötü amaçlı bir ek olarak teslim eden daha tipik kimlik avı e-postaları aracılığıyla olduğunu söyledi.
Şüphelenmeyen şirket çalışanlarının insan saflığıyla birleşen kimlik avı, tehdit aktörlerinin “ciddi bir endişe haline gelen kurumsal ağlara yetkisiz erişim elde etmeleri” için başarılı bir yol olmaya devam ettiğinden, her iki dağıtım yöntemi de işletme için bir tehdit oluşturuyor. dedim.
Aslında, yıllık anket Verizon’un veri ihlalleri üzerine yaptığı araştırma, 2021’de tüm ihlallerin yaklaşık %82’sinin bir şekilde sosyal mühendislikle ilgili olduğunu ve tehdit aktörlerinin hedeflerini %60’tan fazla oranda e-posta yoluyla dolandırıcılık yapmayı tercih ettiğini ortaya çıkardı.
“Son Derece İkna Edici” Dolandırıcılık
Araştırmacılar, tehdit aktörlerinin Rhadamanthys’i yaymak için oluşturduğu ve çoğu yukarıda belirtilen çeşitli yazılım markaları için yasal yükleyici bağlantıları gibi görünen bir dizi kimlik avı alanı tespit etti. Belirledikleri kötü amaçlı bağlantılardan bazıları şunlardır: bluestacks kurulumu[.]com, yakınlaştırma kurulumu[.]com, kurulum yakınlaştırma[.]com, kurulum-anydesk[.]com ve zoom-meetings-install[.]iletişim.
“Bu kampanyanın arkasındaki tehdit aktörleri … kullanıcıları kötü niyetli faaliyetler yürüten hırsız kötü amaçlı yazılımı indirmeleri için kandırmak için meşru web sitelerinin kimliğine bürünen son derece ikna edici bir kimlik avı web sayfası oluşturdular” diye yazdılar.
Araştırmacılar, kullanıcılar tuzağa düşerse, web sitelerinin ilgili uygulamaları indirmek için meşru bir yükleyici kılığında bir yükleyici dosyası indireceğini ve kullanıcının haberi olmadan hırsızı arka planda sessizce kuracağını söyledi.
Kampanyanın daha geleneksel e-posta yönünde, saldırganlar, finansal temalı bir mesaja yanıt verme aciliyetini tasvir eden tipik sosyal mühendislik aracından yararlanan spam kullanır. E-postalar, alıcılara “acil yanıt” ile yanıt verebilmeleri için tıklamalarının önerildiği bir Beyanname.pdf ile birlikte alıcılara hesap ekstreleri gönderiyormuş gibi görünüyor.
Birisi eki tıklarsa, bunun bir “Adobe Acrobat DC Updater” olduğunu belirten bir mesaj görüntüler ve “Güncellemeyi İndir” etiketli bir indirme bağlantısı içerir. Bu bağlantı, bir kez tıklandığında, URL’den hırsız için çalıştırılabilir bir kötü amaçlı yazılım indirir “https[:]\\zolotayavitrina[.]com/Jan-ifadesi[.]exe” Araştırmacılar, kurban makinenin İndirilenler klasörüne kaydettiğini söyledi.
Bu dosya yürütüldükten sonra, hırsız, hedefin bilgisayarından tarayıcı geçmişi ve çeşitli hesap oturum açma kimlik bilgileri gibi hassas verileri (kripto-cüzdanı hedeflemek için özel teknoloji dahil) kaldırmak için konuşlandırıldı, dediler.
Rhadamanthys Yükü
Rhadamanthys aşağı yukarı tipik bir bilgi hırsızı gibi davranır; ancak, araştırmacıların bir kurbanın makinesinde yürütüldüğünü gözlemlerken belirledikleri bazı benzersiz özelliklere sahiptir.
Araştırmacılar, ilk kurulum dosyalarının gizlenmiş Python kodunda olmasına rağmen, nihai yükün Microsoft görsel C/C++ derleyicisi ile derlenmiş 32 bitlik yürütülebilir bir dosya biçimindeki bir kabuk kodu olarak kodunun çözüldüğünü buldu.
Kabuk kodunun ilk işi, herhangi bir zamanda kurbanın sisteminde kötü amaçlı yazılımın yalnızca bir kopyasının çalışmasını sağlamayı amaçlayan bir muteks nesnesi oluşturmaktır. Araştırmacılar, görünüşte hırsızın sanal bir ortamda tespit edilmesini ve analiz edilmesini önlemek için sanal bir makinede çalışıp çalışmadığını da kontrol ediyor.
“Kötü amaçlı yazılım, kontrollü bir ortamda çalıştığını algılarsa yürütmeyi sonlandırır” diye yazdılar. “Aksi takdirde, çalma faaliyetine amaçlandığı gibi devam edecek ve gerçekleştirecektir.”
Bu etkinlik, bir dizi Windows Yönetim Gereçleri (WMI) sorgusu yürüterek bilgisayar adı, kullanıcı adı, işletim sistemi sürümü ve diğer makine ayrıntıları gibi sistem bilgilerinin toplanmasını içerir. Bunu, tarayıcı geçmişini, yer imlerini, çerezleri, otomatik doldurmaları aramak ve çalmak için kurbanın makinesinde Brave, Edge, Chrome, Firefox, Opera Software ve diğerleri dahil olmak üzere yüklü tarayıcıların dizinlerinin sorgulanması takip eder. Giriş kimlik.
Hırsızın ayrıca Armory, Binance, Bitcoin, ByteCoin, WalletWasabi, Zap ve diğerleri gibi belirli hedeflerle çeşitli kripto cüzdanlarını hedefleme yetkisi vardır. Araştırmacılar ayrıca, hırsız ikili dosyasında sabit kodlanmış çeşitli kripto-cüzdan tarayıcı uzantılarından veri çaldığını söyledi.
Rhadamanthys tarafından hedeflenen diğer uygulamalar şunlardır: FTP istemcileri, e-posta istemcileri, dosya yöneticileri, parola yöneticileri, VPN hizmetleri ve mesajlaşma uygulamaları. Hırsız ayrıca kurbanın makinesinin ekran görüntülerini de yakalar. Araştırmacılar, kötü amaçlı yazılımın çalınan tüm verileri sonunda saldırganların komuta ve kontrol (C2) sunucusuna gönderdiğini söyledi.
Kuruluşa Yönelik Tehlikeler
Pandemiden bu yana, kurumsal iş gücü genel olarak coğrafi olarak daha dağınık hale geldi ve benzersiz güvenlik sorunları ortaya çıkardı. Zoom ve AnyDesk gibi uzaktan çalışanların işbirliği yapmasını kolaylaştıran yazılım araçları, yalnızca uygulamaya özel tehditler için değil, aynı zamanda bu zorluklardan yararlanmak isteyen saldırganların sosyal mühendislik kampanyaları için de popüler hedefler haline geldi.
Araştırmacılar, çoğu kurumsal çalışanın şimdiye kadar daha iyi bilmesi gerekirken, kimlik avının saldırganların bir kurumsal ağda yer edinmesi için oldukça başarılı bir yol olmaya devam ettiğini söyledi. Bu nedenle Cybel araştırmacıları, tüm kuruluşların ağlarındaki kimlik avı e-postalarını ve web sitelerini algılamak için güvenlik ürünleri kullanmasını önermektedir. Bunların kurumsal ağlara erişen mobil cihazlara da genişletilmesi gerektiğini söylediler.
Araştırmacılar, işletmelerin çalışanları güvenilmeyen kaynaklardan gelen e-posta eklerini açmanın yanı sıra internetten korsan yazılım indirmenin tehlikeleri konusunda eğitmesi gerektiğini söyledi. Ayrıca, güçlü parolalar kullanmanın önemini pekiştirmeli ve mümkün olan her yerde çok faktörlü kimlik doğrulamayı zorunlu kılmalıdırlar.
Son olarak, Cyble araştırmacıları, genel bir kural olarak, kuruluşların kötü amaçlı yazılım yaymak için kullanılabilecek Torrent/Warez siteleri gibi URL’leri engellemesi gerektiğini tavsiye etti.