Siber güvenlik araştırmacıları, “adlı oldukça kaçamak bir yükleyicinin iç işleyişini detaylandırdılar.in2al5d p3in4erAurora bilgi hırsızı kötü amaçlı yazılımını dağıtmak için kullanılan ” (okuma: geçersiz yazıcı).
“in2al5d p3in4er yükleyici ile derlendi Embarcadero RAD Studio ve gelişmiş anti-VM (sanal makine) tekniğini kullanarak uç nokta iş istasyonlarını hedefliyor” dedi. söz konusu The Hacker News ile paylaşılan bir raporda.
Aurora, 2022’nin sonlarında tehdit ortamında ortaya çıkan, Go tabanlı bir bilgi hırsızıdır. Diğer aktörlere ticari bir kötü amaçlı yazılım olarak sunulan bu yazılım, YouTube videoları ve SEO destekli sahte crackli yazılım indirme web siteleri aracılığıyla dağıtılır.
YouTube video açıklamalarında bulunan bağlantılara tıklamak, kurbanı görünüşte meşru bir yardımcı program kisvesi altında kötü amaçlı yazılımı indirmeye ikna edildikleri sahte web sitelerine yönlendirir.
Morphisec tarafından analiz edilen yükleyici, bir sistemde kurulu grafik kartının satıcı kimliğini sorgulamak ve bunu bir dizi izin verilenler listesine alınmış satıcı kimliğiyle (AMD, Intel veya NVIDIA) karşılaştırmak için tasarlanmıştır. Değer eşleşmezse yükleyici kendini sonlandırır.
Yükleyici en sonunda nihai yükün şifresini çözer ve onu “sihost.exe” adı verilen meşru bir işleme enjekte eder. süreç oyuk. Alternatif olarak, bazı yükleyici örnekleri de şifresi çözülmüş yükü yazmak ve oradan çağırmak için bellek ayırır.
Güvenlik araştırmacıları Arnold Osipov ve Michael Dereviashkin, “Enjeksiyon işlemi sırasında, tüm yükleyici örnekleri gerekli Win API’lerini dinamik olarak çözer ve bir XOR anahtarı kullanarak bu adların şifresini çözer: ‘in2al5d p3in4er’.”
Yükleyicinin bir başka önemli yönü de, birden fazla platform için yürütülebilir dosyalar oluşturmak üzere Embarcadero RAD Studio’yu kullanması ve böylece tespitten kaçmasını sağlamasıdır.
İsrailli siber güvenlik şirketi, “VirüsTotal’da en düşük algılama oranına sahip olanlar, Embarcadero’nun Clang tabanlı yeni bir C++ derleyicisi olan ‘BCC64.exe’ kullanılarak derleniyor.”
“Bu derleyici, ‘Standart Kitaplık’ (Dinkumware) ve ‘Çalışma Zamanı Kitaplığı’ (derleyici-rt) gibi farklı bir kod tabanı kullanır ve giriş noktasını ve yürütme akışını değiştiren optimize edilmiş kod üretir. Bu, imzalar gibi güvenlik tedarikçilerinin göstergelerini bozar ‘kötü amaçlı/şüpheli kod bloğu’ndan oluşur.'”
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Özetle, bulgular, in2al5d p3in4er’ın arkasındaki tehdit aktörlerinin, kötü amaçlı yazılım dağıtım kanalı olarak YouTube’u kullanan ve izleyicileri kötü amaçlı hırsızlığı dağıtmak için ikna edici görünen sahte web sitelerine yönlendiren yüksek etkili bir kampanya için sosyal mühendislik yöntemlerinden yararlandığını gösteriyor.
Geliştirme, Intel 471’in başka bir kötü amaçlı yazılım yükleyiciyi ortaya çıkarmasıyla geldi AresYükleyici Bu, suç aktörlerinin popüler yazılım kılığına girmiş bilgi hırsızlarını bir klasör aracı kullanarak zorlamaları için ayda 300 ABD Doları karşılığında pazarlanan bir hizmettir. Yükleyicinin Rus bilgisayar korsanlığıyla bağlantılı bir grup tarafından geliştirildiğinden şüpheleniliyor.
Ocak 2023’ten beri AresLoader kullanılarak yayılan önde gelen kötü amaçlı yazılım ailelerinden bazıları Aurora Stealer, Laplas Clipper, Lumma Stealer, Stealc ve SystemBC’dir.