Siber güvenlik araştırmacıları, WARMCOOKIE adlı Windows tabanlı bir arka kapı sunmak için işe alım ve iş temalı tuzaklardan yararlanan, devam eden bir kimlik avı kampanyasının ayrıntılarını açıkladı.
Elastic Security Labs araştırmacısı Daniel Stepanic, “WARMCOOKIE, kurban ağlarını tespit etmek ve ek yükleri dağıtmak için kullanılan bir ilk arka kapı aracı gibi görünüyor.” söz konusu yeni bir analizde. “Her örnek sabit kodlanmış bir kodla derlenir [command-and-control] IP adresi ve RC4 anahtarı.”
Arka kapı, virüs bulaşmış makinelerin parmak izini alma, ekran görüntüleri yakalama ve daha fazla kötü amaçlı program bırakma yetenekleriyle birlikte gelir. Şirket, etkinliği REF6127 adı altında takip ediyor.
Nisan ayının sonlarından bu yana gözlemlenen saldırı zincirleri, Hays, Michael Page ve PageGroup gibi işe alım firmalarından geldiği iddia edilen ve alıcıları bir iş fırsatıyla ilgili ayrıntıları görüntülemek için gömülü bir bağlantıya tıklamaya teşvik eden e-posta mesajlarının kullanılmasını içeriyor.
Bağlantıyı tıklayan kullanıcılardan CAPTCHA sorununu çözerek bir belge indirmeleri istenir ve ardından bir JavaScript dosyası (“Update_23_04_2024_5689382.js”) bırakılır.
Elastic, “Bu karmaşık komut dosyası PowerShell’i çalıştırarak WARMCOOKIE’yi yüklemek için ilk görevi başlatıyor” dedi. “PowerShell betiği Arka Plan Akıllı Aktarım Hizmetini kötüye kullanıyor (BİTLER) WARMCOOKIE’yi indirmek için.”
Kampanyanın önemli bir bileşeni, daha sonra mağdurları uygun açılış sayfasına yönlendirmek için kullanılan ilk kimlik avı URL’sini barındırmak için ele geçirilmiş altyapının kullanılmasıdır.
Bir Windows DLL’si olan WARMCOOKIE, zamanlanmış bir görevi kullanarak kalıcılığın oluşturulmasına ve temel işlevlerin başlatılmasına izin veren, ancak tespitten kaçınmak için bir dizi anti-analiz kontrolü gerçekleştirmeden önce olmayan iki adımlı bir süreci izler.
Arka kapı, virüs bulaşmış ana bilgisayar hakkındaki bilgileri, kod adı verilen önceki bir kampanyayla bağlantılı olarak kullanılan bir yapıya benzer bir şekilde yakalamak üzere tasarlanmıştır. İkamet eden kişi imalat, ticaret ve sağlık kuruluşlarını hedef aldı.
Ayrıca dosyalardan okuma ve dosyalara yazma, cmd.exe kullanarak komutları yürütme, yüklü uygulamaların listesini getirme ve ekran görüntüleri alma komutlarını da destekler.
Elastic, “WARMCOOKIE, popülerlik kazanan ve dünya genelindeki kullanıcıları hedefleyen kampanyalarda kullanılan, yeni keşfedilen bir arka kapıdır” dedi.
Açıklama, Trustwave SpiderLabs’ın faturayla ilgili tuzaklar kullanan ve kötü amaçlı yazılım dağıtmak için HTML koduna gömülü Windows arama işlevinden yararlanan karmaşık bir kimlik avı kampanyasını ayrıntılı olarak açıklamasının ardından geldi.
“Sağlanan işlevsellik nispeten basittir ve hafif bir arka kapıya ihtiyaç duyan tehdit gruplarının kurbanları izlemesine ve fidye yazılımı gibi daha fazla zarar veren yükleri dağıtmasına olanak tanır.”
E-posta mesajları, eski e-postayı kullanan bir HTML dosyası içeren bir ZIP arşivi taşır. Windows “arama:” URI protokol işleyicisi Uzak bir sunucuda barındırılan bir Kısayol (LNK) dosyasını Windows Gezgini’nde görüntülemek ve bunun yerel bir arama sonucu olduğu izlenimini vermek.
Trustwave, “Bu LNK dosyası, aynı sunucuda barındırılan bir toplu komut dosyasına (BAT) işaret ediyor ve bu, kullanıcı tıkladığında potansiyel olarak ek kötü amaçlı işlemleri tetikleyebilir.” söz konususunucunun yanıt vermemesi nedeniyle toplu komut dosyasının alınamadığını ekledik.
Search-ms: ve search: öğelerinin kötü amaçlı yazılım dağıtım vektörü olarak kötüye kullanılmasının Temmuz 2023’te Trellix tarafından belgelendiğini belirtmekte fayda var.
Şirket, “Bu saldırı, kötü amaçlı yazılımın otomatik kurulumunu kullanmasa da, kullanıcıların çeşitli istemler ve tıklamalarla etkileşime geçmesini gerektiriyor” dedi. “Ancak bu teknik, saldırganın gerçek niyetini akıllıca gizleyerek, kullanıcıların tanıdık arayüzlere ve e-posta eklerini açmak gibi yaygın eylemlere duyduğu güveni istismar ediyor.”