Bir dizi kimlik avı kampanyası, kötü amaçlı yazılımları, kimlik avı kiti altyapısını barındırmak ve diğer saldırıları kolaylaştırmak için merkezi olmayan Gezegenler Arası Dosya Sistemi (IPFS) ağından yararlanıyor.
Cisco Talos araştırmacısı Edmund Brumaghin, “Birden çok kötü amaçlı yazılım ailesi şu anda IPFS içinde barındırılıyor ve kötü amaçlı yazılım saldırılarının ilk aşamalarında alınıyor” dedi. analiz Hacker News ile paylaşıldı.
Araştırma, Temmuz 2022’de, saldırı vektörü olarak IPFS kimlik avı URL’lerini içeren 3.000’den fazla e-posta bulan Trustwave SpiderLabs’ın benzer bulgularını yansıtıyor ve IPFS’yi kimlik avı sitelerini barındırmak için yeni “sıcak yatak” olarak adlandırıyor.
Bir teknoloji olarak IPFS, hem sansüre hem de yayından kaldırmalara karşı dayanıklıdır ve bu da onu iki ucu keskin bir kılıç haline getirir. Bunun temelinde, içeriği katılan tüm düğümler arasında çoğaltan bir eşler arası (P2P) ağ bulunur, böylece içerik bir makineden kaldırılsa bile kaynaklara yönelik talepler diğer sistemler aracılığıyla sunulabilir.
Bu aynı zamanda, geçen yıl Emotet örneğinde görüldüğü gibi, kolluk kuvvetlerinin saldırı altyapılarını bozma girişimlerine direnebilecek kötü amaçlı yazılımları barındırmak isteyen kötü aktörler tarafından kötüye kullanıma uygun hale getirir.
Brumaghin daha önce The Hacker News’e Ağustos 2022’de verdiği demeçte, “IPFS şu anda kimlik avı ve kötü amaçlı yazılım dağıtım kampanyalarının bir parçası olarak kötü amaçlı içerikleri barındırmak için kullanan çeşitli tehdit aktörleri tarafından kötüye kullanılıyor.”
Buna, IPFS’de barındırılan platform tarafından sağlanan yük ikili dosyalarıyla, düşmanların uzaktan sistem erişimi, DDoS yetenekleri ve kripto para birimi madenciliği elde etmesinin bir yolu olarak reklamı yapılan bir komut ve kontrol (C2) çerçevesi olan Dark Utilities dahildir.
Ayrıca IPFS, kimlik bilgilerini çalmak ve Ajan Tesla, ters kabuklar, veri silecek ve Hannabi Grabber adlı bir bilgi hırsızı içeren çok çeşitli kötü amaçlı yazılımları dağıtmak için düzenlenen kimlik avı kampanyalarının bir parçası olarak sahte açılış sayfaları sunmak için kullanılmaya başlandı.
Talos tarafından detaylandırılan bir kötü amaçlı spam dağıtım zincirinde, bir Türk finans kurumundan geldiği iddia edilen bir e-posta, alıcıyı, başlatıldığında, IPFS ağında barındırılan Ajan Tesla’nın karmaşık bir sürümünü almak için bir indirici olarak çalışan bir ZIP dosya ekini açmaya teşvik etti. .
Yıkıcı kötü amaçlı yazılım, kendi adına, yedekleri silen ve tüm dizin içeriğini tekrar tekrar temizleyen bir toplu iş dosyası biçimini alır. Hannabi Grabber, virüs bulaşmış ana bilgisayardan tarayıcı verileri ve ekran görüntüleri gibi hassas bilgileri toplayan ve bunları bir Discord Web kancası.
En son gelişme, saldırganların Discord, Slack, Telegram, Dropbox, Google Drive, AWS ve diğerleri gibi meşru tekliflerin kötü amaçlı içeriği barındırmak veya kullanıcıları yönlendirmek için giderek artan şekilde kullanıldığını ve kimlik avını kazançlı birincil işlemlerden biri haline getirdiğini gösteriyor. erişim vektörleri
“Daha fazla tehdit aktörü, IPFS’nin kurşun geçirmez barındırmayı kolaylaştırmak için kullanılabileceğini, içerik denetleme ve yasa uygulama faaliyetlerine karşı dayanıklı olduğunu ve saldırılardan yararlanabilecek saldırıları tespit etmeye ve bunlara karşı savunmaya çalışan kuruluşlar için sorunlar ortaya çıkardığını fark ettikçe, bu etkinliğin artmaya devam etmesini bekliyoruz. IPFS ağı,” dedi Brumaghin.
