Kötü amaçlı bir reklamcılık kampanyası, Google Chrome ve Microsoft Teams gibi popüler yazılımlar için truva atı haline getirilmiş yükleyicilerden yararlanarak Oyster (diğer adıyla Broomstick ve CleanUpLoader) adlı bir arka kapı bırakmayı amaçlıyor.
Buna göre bulgular Rapid7, kullanıcıların Google ve Bing gibi arama motorlarında aradıktan sonra yönlendirildikleri kötü amaçlı yükleri barındıran benzer web sitelerini tespit etti.
Tehdit aktörleri, şüphelenmeyen kullanıcıları meşru yazılım içerdiği iddia edilen sahte web sitelerine yönlendiriyor. Ancak kurulum ikili dosyasını indirmeye çalışmak bunun yerine kötü amaçlı yazılım bulaşma zincirini başlatır.
Özellikle yürütülebilir dosya, güvenliği ihlal edilmiş ana bilgisayar hakkında bilgi toplayabilen, sabit kodlu bir komut ve kontrol (C2) adresiyle iletişim kurabilen ve uzaktan kod yürütülmesini destekleyebilen Oyster adı verilen bir arka kapı için bir yol görevi görüyor.
Geçmişte Oyster’ın, Broomstick Loader (diğer adıyla Oyster Installer) olarak bilinen özel bir yükleyici bileşeni aracılığıyla teslim edildiği gözlemlenmiş olsa da, en son saldırı zincirleri, arka kapının doğrudan açılmasını gerektiriyor. Kötü amaçlı yazılımın aşağıdakilerle ilişkili olduğu söyleniyor: ITG23TrickBot kötü amaçlı yazılımının arkasında Rusya bağlantılı bir grup var.
Kötü amaçlı yazılımın yürütülmesini, hileyi sürdürmek ve tehlike işaretlerinin ortaya çıkmasını önlemek amacıyla meşru Microsoft Teams yazılımının yüklenmesi takip ediyor. Rapid7 ayrıca kötü amaçlı yazılımın sistemde kalıcılığı ayarlamaktan sorumlu bir PowerShell betiği oluşturmak için kullanıldığını da gözlemlediğini söyledi.
Açıklama, Rogue Raticate (diğer adıyla RATicate) olarak bilinen bir siber suç grubunun, kullanıcıları kötü amaçlı bir URL’ye tıklamaya ve NetSupport RAT sunmaya ikna etmek için PDF tuzakları kullanan bir e-posta kimlik avı kampanyasının arkasında olduğu düşünüldüğü için geldi.
Symantec, “Bir kullanıcı başarılı bir şekilde URL’ye tıklaması için kandırılırsa, bir Trafik Dağıtım Sistemi (TDS) aracılığıyla zincirin geri kalanına yönlendirilecek ve sonunda NetSupport Uzaktan Erişim Aracı’nın kendi makinesine konuşlandırılması sağlanacak.” söz konusu.
Bu aynı zamanda, müşterilerin, kurbanları kimlik bilgileri toplama sayfalarına yönlendiren PDF eklerindeki gömülü QR kodlarını kullanarak kimlik avı kampanyaları düzenlemelerine olanak tanıyan, ONNX Mağazası adı verilen yeni bir hizmet olarak kimlik avı (PhaaS) platformunun ortaya çıkışıyla da aynı zamana denk geliyor.
Bir Telegram botu aracılığıyla Kurşun geçirmez barındırma ve RDP hizmetleri de sunan ONNX Store’un, ilk olarak Ekim 2022’de Google’a ait Mandiant tarafından belgelenen ve hizmetin Arap bir şirket tarafından sürdürülen Kafein kimlik avı kitinin yeniden markalanmış bir versiyonu olduğuna inanılıyor. MRxC0DER adlı konuşan tehdit aktörü.
Kimlik avı web sitesi tarayıcılarının tespitinden kaçınmak için Cloudflare’in anti-bot mekanizmalarını kullanmanın yanı sıra, kampanyaların sonlandırılması Kurbanların ağ meta verilerini toplamak ve 2FA belirteçlerini aktarmak için sayfa yükleme sırasında kodu çözülen şifrelenmiş JavaScript ile gömülü olarak gelir.
“ONNX Mağazası, verileri kesen iki faktörlü kimlik doğrulama (2FA) atlama mekanizmasına sahiptir [two-factor authentication] Kurbanlardan gelen talepler”, EclecticIQ araştırmacısı Arda Büyükkaya söz konusu. “Kimlik avı sayfaları gerçek Microsoft 365 oturum açma arayüzlerine benziyor ve hedefleri kimlik doğrulama ayrıntılarını girmeleri için kandırıyor.”