Sahte web tarayıcı güncellemeleri, uzaktan erişim truva atları (RAT’lar) ve BitRAT ve Lumma Stealer (diğer adıyla LummaC2) gibi bilgi çalan kötü amaçlı yazılımlar sunmak için kullanılıyor.
Siber güvenlik firması eSentire, “Sahte tarayıcı güncellemeleri, tanınmış SocGholish kötü amaçlı yazılımınınkiler de dahil olmak üzere çok sayıda kötü amaçlı yazılım bulaşmasından sorumlu” dedi. söz konusu yeni bir raporda. “Nisan 2024’te FakeBat’in benzer sahte güncelleme mekanizmalarıyla dağıtıldığını gözlemledik.”
Saldırı zinciri, potansiyel hedeflerin, kullanıcıları sahte bir tarayıcı güncelleme sayfasına (“chatgpt-app) yönlendirmek için tasarlanmış JavaScript kodu içeren bubi tuzaklı bir web sitesini ziyaret etmesiyle başlar.[.]bulut”).
Yönlendirilen web sayfası, Discord’da barındırılan ve otomatik olarak kurbanın cihazına indirilen bir ZIP arşiv dosyasına (“Update.zip”) yönelik bir indirme bağlantısıyla birlikte gelir.
Tehdit aktörlerinin genellikle Discord’u saldırı vektörü olarak kullandığını belirtmekte fayda var. son analiz Bitdefender, son altı ay içinde kötü amaçlı yazılım, kimlik avı kampanyaları ve spam dağıtan 50.000’den fazla tehlikeli bağlantıyı ortaya çıkardı.
ZIP arşiv dosyasında, PNG görüntü dosyaları biçimindeki uzak bir sunucudan BitRAT ve Lumma Stealer dahil olmak üzere ek yüklerin alınmasından sorumlu PowerShell komut dosyalarının yürütülmesini tetikleyen başka bir JavaScript dosyası (“Update.js”) bulunur.
Bu şekilde ayrıca kalıcılık oluşturmaya yönelik PowerShell komut dosyaları ve öncelikle son aşamadaki kötü amaçlı yazılımı başlatmak için kullanılan .NET tabanlı bir yükleyici de alınır. eSentire, aynı yükleyicinin hem BitRAT hem de Lumma Stealer’ı dağıtmak için kullanılması nedeniyle yükleyicinin muhtemelen bir “kötü amaçlı yazılım dağıtım hizmeti” olarak tanıtıldığını öne sürdü.
BitRAT, saldırganların verileri toplamasına, kripto para madenciliği yapmasına, daha fazla ikili dosya indirmesine ve virüslü ana bilgisayarlara uzaktan kumanda etmesine olanak tanıyan, zengin özelliklere sahip bir RAT’tır. Ağustos 2022’den bu yana ayda 250 ila 1.000 ABD Doları arasında fiyatla satışa sunulan bir emtia hırsızı kötü amaçlı yazılım olan Lumma Stealer, web tarayıcılarından, kripto cüzdanlarından ve diğer hassas ayrıntılardan bilgi yakalama olanağı sunuyor.
Şirket, “Sahte tarayıcı güncelleme tuzağının, saldırganlar arasında bir cihaza veya ağa giriş aracı olarak yaygın hale geldiğini” belirterek, bunun “operatörün erişimi ve etkiyi en üst düzeye çıkarmak için güvenilir adlardan yararlanma yeteneğini gösterdiğini” belirtti.
Bu tür saldırılar genellikle otomatik indirmelerden ve kötü amaçlı reklamcılık tekniklerinden yararlanırken, ReliaQuest geçen hafta yayınlanan bir raporda, ClearFake kampanyasının kullanıcıları kandırarak kötü amaçlı PowerShell kodunu kopyalama, yapıştırma ve manuel olarak çalıştırma bahanesiyle kandıran yeni bir çeşidini keşfettiğini söyledi. bir tarayıcı güncellemesi.
Özellikle kötü amaçlı web sitesi, “bu web sayfasını görüntülerken bir şeylerin ters gittiğini” iddia ediyor ve site ziyaretçisine, gizlenmiş PowerShell kodunu kopyalayıp bir PowerShell terminalinde çalıştırmayı içeren bir dizi adımı izleyerek sorunu çözmek için bir kök sertifika yüklemesi talimatını veriyor .
Şirket, “PowerShell kodu yürütüldüğünde, DNS önbelleğini temizlemek, bir mesaj kutusu görüntülemek, daha fazla PowerShell kodu indirmek ve ‘LummaC2’ kötü amaçlı yazılımını yüklemek de dahil olmak üzere birçok işlevi yerine getiriyor.” söz konusu.
Siber güvenlik firmasının paylaştığı bilgilere göre Lumma Stealer, RedLine ve Raccoon’la birlikte 2023’te en yaygın bilgi hırsızlarından biri olarak ortaya çıktı.
“LummaC2’den elde edilen ve satış için listelenen kütüklerin sayısı 2023’ün 3. çeyreğinden 4. çeyreğine kadar %110 arttı.” kayıt edilmiş. “LummaC2’nin rakipler arasında artan popülaritesi muhtemelen yüksek başarı oranına bağlı; bu da onun sistemlere başarıyla sızma ve hassas verileri tespit edilmeden dışarı çıkarma konusundaki etkinliği anlamına geliyor.”
Bu gelişme, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), kötü niyetli yükleyicileri dağıtmak için bir kanal olarak webhard’ları (web sabit diskinin kısaltması) kullanan yeni bir kampanyanın ayrıntılarını açıklamasıyla birlikte geldi. yetişkin oyunları Ve Microsoft Office’in kırık sürümleri ve sonuçta Orcus RAT, XMRig madenci gibi çeşitli kötü amaçlı yazılımları dağıtın, 3 vekilve XWorm.
Korsan yazılım sunan web sitelerini içeren benzer saldırı zincirleri, PrivateLoader gibi kötü amaçlı yazılım yükleyicilerin konuşlandırılmasına yol açmıştır. Görev YükleyiciHer ikisi de diğer siber suçluların kendi yüklerini teslim etmeleri için yükleme başına ödeme (PPI) hizmeti olarak sunuluyor.
Ayrıca Silent Push’un CryptoChameleon’un DNSPod’u “neredeyse özel kullanımı” hakkındaki yeni bulgularını da takip ediyor[.]com ad sunucuları kimlik avı kiti mimarisini destekleyecek. DNSPodÇinli Tencent şirketinin bir parçası olan tarih kötü amaçlı kurşun geçirmez barındırma operatörlerine hizmet sağlama.
“CryptoChameleon, DNSPod ad sunucularını kullanarak etkileşime geçiyor hızlı akıştan kaçınma teknikleri Bu, tehdit aktörlerinin tek bir alan adına bağlı büyük miktarlardaki IP’ler arasında hızlı bir şekilde geçiş yapmasına olanak tanıyor” dedi. söz konusu.
“Hızlı akış, CryptoChameleon altyapısının geleneksel karşı önlemlerden kaçmasına olanak tanıyor ve eski anlık IOC’lerin operasyonel değerini önemli ölçüde azaltıyor.” en az yedi birincil sosyal medya hesabını ve 250’den fazla hesaptan oluşan bir CIB ağını kullanmak.