CopperStealer kötü amaçlı yazılımının arkasındaki tehdit aktörleri, CopperStealth ve CopperPhish adlı iki yeni veri yükü sunmak için tasarlanan Mart ve Nisan 2023’te iki yeni kampanyayla yeniden ortaya çıktı.
Trend Micro, finansal olarak motive olan grubu şu adla takip ediyor: Su Orthrus. Rakip de değerlendiriliyor arka başka bir kampanya olarak bilinen Scranos2019 yılında Bitdefender tarafından detaylandırılmıştır.
En az 2021’den beri aktif olan Water Orthrus, kurulum başına ödeme (PPI) ağlarından yararlanarak kurbanları yeniden yönlendirmek için bir geçmişe sahiptir. çatlamış yazılım indirme siteleri kod adlı bir bilgi hırsızını bırakmak için Bakır Hırsızı.
Ağustos 2022’de tespit edilen başka bir kampanya, dağıtmak için CopperStealer’ın kullanılmasını gerektirdi. Chromium tabanlı web tarayıcı uzantıları yetkisiz işlemler gerçekleştirebilen ve kripto para birimini kurbanların cüzdanlarından saldırganların kontrolündeki cüzdanlara aktarabilen.
Trend Micro tarafından belgelenen en son saldırı dizileri, CopperStealth’i ücretsiz araçlar için yükleyiciler olarak paketleyerek yayarak büyük bir sapmaya işaret etmiyor. Çinli yazılım paylaşım siteleri.
Güvenlik araştırmacıları Jaromir Horejsi ve Joseph C Chen, “CopperStealth’in bulaşma zinciri, daha sonra yükünü explorer.exe’ye ve başka bir sistem işlemine ekleyen bir rootkit’in indirilip yüklenmesini içerir.” söz konusu teknik bir raporda.
“Bu yükler, ek görevlerin indirilmesinden ve çalıştırılmasından sorumludur. Rootkit ayrıca engellenenler listesindeki kayıt defteri anahtarlarına erişimi engeller ve belirli yürütülebilir dosyaların ve sürücülerin çalışmasını engeller.”
Sürücü reddetme listesi, Huorong, Kingsoft ve Qihoo 360 gibi Çin güvenlik yazılımı şirketlerine ait bayt dizilerini içerir.
CopperStealth ayrıca uzak bir sunucuya seslenmesini ve virüslü makinede yürütülecek komutu almasını sağlayan bir görev modülü içerir ve kötü amaçlı yazılımı daha fazla yük bırakacak şekilde donatır.
Dosya Paylaşım Web Siteleri, CopperPhish Kimlik Avı Kiti için Kanal görevi görür
Nisan 2023’te dünya çapında tespit edilen CopperPhish kampanyası, ücretsiz anonim dosya paylaşım web sitelerinin arkasındaki PPI ağları aracılığıyla kötü amaçlı yazılımı dağıtmak için benzer bir süreçten yararlanıyor.
Araştırmacılar, “Ziyaretçiler, bir indirme bağlantısı gibi görünen reklamlarına tıkladıktan sonra PPI ağı tarafından tasarlanan bir indirme sayfasına yönlendirilecek” dedi. “İndirilen dosya, birçok farklı kötü amaçlı yazılımı indiren ve çalıştıran PrivateLoader’dır.”
Yine ÜFE bazında sunulan indirme hizmeti, daha sonra kredi kartı bilgilerini toplamaktan sorumlu bir kimlik avı kiti olan CopperPhish’i almak ve başlatmak için kullanılır.
Bunu, “bir rundll32 işlemi ve içinde bir tarayıcı penceresi (Visual Basic ile yazılmış) olan basit bir program enjekte ederek, kurbanları kimliklerini doğrulamak için bir QR kodu taramaya ve “cihazınızın ağını geri yüklemek” için bir onay kodu girmeye teşvik eden bir kimlik avı sayfası yükleniyor.
Araştırmacılar, “Pencerenin onu küçültmek veya kapatmak için kullanılabilecek hiçbir kontrolü yok” dedi. “Kurban, Görev Yöneticisi’nde veya İşlem Gezgini’nde tarayıcının işlemini kapatabilir, ancak aynı zamanda ana yük sürecini de sonlandırmaları gerekir, aksi takdirde tarayıcı işlemi, kalıcı iş parçacığı nedeniyle yeniden gerçekleşir.”
Hassas ayrıntılar sayfaya girildiğinde, CopperPhish kötü amaçlı yazılımı, kurbanın yukarıda belirtilen ekranda girebileceği bir onay kodunun yanı sıra “kimlik doğrulaması geçti” mesajını görüntüler.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Doğru onay kodunun sağlanması, kötü amaçlı yazılımın kendisini kaldırmasına ve bırakılan tüm kimlik avı dosyalarını makineden silmesine de neden olur.
Araştırmacılar, “Kimlik bilgisi doğrulama ve onay kodu, bu kimlik avı kitini daha başarılı kılan iki yararlı özelliktir, çünkü kurban pencereden kurtulmak için pencereyi öylece kapatamaz veya sahte bilgiler giremez” dedi.
Water Orthrus’a yapılan atıf, hem CopperStealth hem de CopperPhish’in CopperStealer ile benzer kaynak kodu özelliklerini paylaşması gerçeğine dayanmaktadır ve bu, üç türün de aynı yazar tarafından geliştirilmiş olabileceği olasılığını artırmaktadır.
Kampanyaların farklı hedefleri, tehdit aktörünün taktiklerinin gelişimini temsil ederek cephaneliğine yeni yetenekler ekleme ve finansal ufkunu genişletme girişimini gösteriyor.
Bulgular şu şekilde gelir kötü amaçlı Google reklamları kullanıcıları Midjourney ve OpenAI’nin ChatGPT’si gibi yapay zeka araçları için sahte yükleyiciler indirmeye ikna etmek için kullanılıyorlar ve sonunda Vidar ve RedLine gibi hırsızları düşürüyorlar.
Ayrıca, trafikten para kazandıran yeni bir hizmetin keşfini de takip ediyorlar. Trafik Hırsızı trafiği web sitelerine yönlendirmek ve yasadışı para kazanma planının bir parçası olarak sahte reklam tıklamaları oluşturmak için yanlış yapılandırma kapsayıcılarından yararlanan.
