Sahte yazılım güncelleme tuzakları, tehdit aktörleri tarafından, adı verilen yeni bir hırsız kötü amaçlı yazılım sunmak için kullanılıyor. CoinLurker.
Morphisec araştırmacısı Nadav Lorber, “Go’da yazılan CoinLurker, en son şaşırtma ve anti-analiz tekniklerini kullanıyor ve bu da onu modern siber saldırılarda son derece etkili bir araç haline getiriyor.” söz konusu Pazartesi günü yayınlanan teknik bir raporda.
Saldırılar, ele geçirilen WordPress sitelerindeki yazılım güncelleme bildirimleri, kötü amaçlı reklam yönlendirmeleri, sahte güncelleme sayfalarına bağlantı veren kimlik avı e-postaları, sahte CAPTCHA doğrulama istemleri, sahte veya virüslü sitelerden doğrudan indirmeler gibi çeşitli yanıltıcı giriş noktalarını kullanan sahte güncelleme uyarılarından yararlanır. sosyal medya ve mesajlaşma uygulamaları aracılığıyla paylaşılan bağlantılar.
Enfeksiyon zincirini başlatmak için kullanılan yöntem ne olursa olsun, yazılım güncelleme istemleri şunları kullanır: Microsoft Edge Web Görünümü2 yükün yürütülmesini tetiklemek için.
Lorber, “Webview2’nin önceden yüklenmiş bileşenlere ve kullanıcı etkileşimine bağımlılığı, dinamik ve korumalı alan analizini karmaşık hale getiriyor” dedi. “Korumalı alanlar genellikle Webview2’den yoksundur veya kullanıcı eylemlerini kopyalamakta başarısız olur, bu da kötü amaçlı yazılımın otomatik tespitten kaçmasına olanak tanır.”
Bu kampanyalarda benimsenen gelişmiş taktiklerden biri, EtherHiding adı verilen bir tekniğin kullanılmasıyla ilgilidir; bu teknikte ele geçirilen sitelere, Bitbucket deposundan son yükü almak için Web3 altyapısına ulaşmak üzere tasarlanmış komut dosyaları enjekte edilir. meşru araçlar (örneğin, “UpdateMe.exe”, “SecurityPatch.exe”).
Bu yürütülebilir dosyalar, meşru ancak çalınmış bir Genişletilmiş Doğrulama (EV) sertifikasıyla imzalanır, böylece şemaya başka bir aldatma katmanı eklenir ve güvenlik korkulukları atlanır. Son adımda, yükü Microsoft Edge (“msedge.exe”) işlemine dağıtmak için “çok katmanlı enjektör” kullanılır.
CoinLurker aynı zamanda eylemlerini gizlemek ve analizleri karmaşık hale getirmek için akıllı bir tasarım kullanıyor; makinenin zaten tehlikeye girip girmediğini kontrol etmek için ağır gizleme, çalışma zamanı sırasında yükün kodunu doğrudan bellekte çözme ve koşullu kontroller, yedek kaynak kullanarak program yürütme yolunu gizlemek için adımlar atma dahil. atamalar ve yinelemeli hafıza manipülasyonları.
Morphisec, “Bu yaklaşım, kötü amaçlı yazılımın tespitten kaçmasını, meşru sistem etkinliğine sorunsuz bir şekilde karışmasını ve filtreleme için süreç davranışına dayanan ağ güvenliği kurallarını atlamasını sağlar.” dedi.
CoinLurker başlatıldığında, soket tabanlı bir yaklaşım kullanarak uzaktaki bir sunucuyla iletişimi başlatır ve kripto para cüzdanları (yani Bitcoin, Ethereum, Ledger Live ve Exodus), Telegram, Discord ve FileZilla ile ilişkili belirli dizinlerden veri toplamaya devam eder.
Lorber, “Bu kapsamlı tarama, CoinLurker’in kripto para birimiyle ilgili değerli verileri ve kullanıcı kimlik bilgilerini toplama şeklindeki birincil hedefinin altını çiziyor” dedi. “Hem ana akım hem de bilinmeyen cüzdanları hedeflemesi, çok yönlülüğünü ve uyarlanabilirliğini gösteriyor ve bu da onu kripto para birimi ekosistemindeki kullanıcılar için önemli bir tehdit haline getiriyor.”
Bu gelişme, tek bir tehdit aktörünün, en az 13 Kasım 2024’ten bu yana FreeCAD, Rhinoceros 3D, Planner 5D ve benzeri yemleri kullanarak grafik tasarım profesyonellerini dışlamak amacıyla Google Arama reklamlarını kötüye kullanan 10 kadar kötü amaçlı reklam kampanyasını düzenlediğinin gözlemlenmesiyle ortaya çıktı. Şekilde.
“Alanlar, en az 13 Kasım 2024’ten bu yana, iki özel IP adresinde barındırılan kötü amaçlı reklam kampanyaları için her gün, her hafta başlatılıyor: 185.11.61[.]243 ve 185.147.124[.]110” Sessiz Basma söz konusu. “Bu iki IP aralığından kaynaklanan siteler Google Arama reklam kampanyalarında yayınlanıyor ve bunların tümü çeşitli kötü amaçlı indirmelere yol açıyor.”
Bu aynı zamanda I2PRAT adlı yeni bir kötü amaçlı yazılım ailesinin ortaya çıkmasını da takip ediyor. I2P Komuta ve kontrol (C2) sunucusuyla şifreli iletişim için eşler arası ağ. I2PRAT’ın aynı zamanda Cofense tarafından I2Parcae RAT adı altında takip edildiğini de belirtmekte fayda var.
saldırının başlangıç noktası tıklandığında mesaj alıcısını sahte bir CAPTCHA doğrulama sayfasına yönlendiren bir bağlantı içeren bir kimlik avı e-postasıdır; bu sayfa, kullanıcıları bir indiriciyi başlatmaktan sorumlu Base64 kodlu bir PowerShell komutunu kopyalayıp yürütmeleri için kandırmak amacıyla ClickFix tekniğini kullanır ve daha sonra dağıtır. RAT’ı bir TCP soketi üzerinden C2 sunucusundan aldıktan sonra.
