QR Kodların Yeni Kötü Amaçlı Kullanımı
Son dönemde ortaya çıkan bir npm paketi olan ‘fezbox’, zararlı yazılım aktörlerinin sunucularından çerez çalma amacıyla QR kodları kullanarak veri toplayan yenilikçi bir yöntem geliştirmiştir. Bu paket, bir yardımcı kütüphane olarak maskeleme yapmakta ve steganografik teknikler kullanarak hassas bilgileri, özellikle de kullanıcı kimlik bilgilerini, tehlikeye atılmış makinelerden toplamaktadır.
QR Kodların Yeni Kullanım Alanı
Geleneksel olarak 2D barkodlar olarak bilinen QR kodları, genellikle pazarlama içeriği taşımak veya bağlantılar paylaşmak için tasarlanmıştı. Ancak son dönemde saldırganlar, bu barkodların içerisine zararlı kodları gizleme amacıyla yeni bir kullanım alanı bulmuşlardır. Bu hafta, Socket Tehdit Araştırma Ekibi, dünyanın en büyük açık kaynak kayıt defteri olan npmjs.com üzerinde, ‘fezbox’ adlı zararlı paketi tespit etmiştir.
Bu paket, zararlı bir JPG görüntüsü içeren QR kodunu yüklemek için gizli talimatlar içermektedir. Daha sonra bu kodu işleyerek saldırının ikinci aşamasında obfuscate edilmiş bir yük çalıştırılmaktadır. Npmjs.com verilerine göre, bu paket, veri tabanından kaldırılmadan önce en az 327 kez indirilmiştir.
Yasadışı URL’lerin Tespitsiz İletimi
BleepingComputer tarafından onaylandığı üzere, zararlı yük genellikle paketin dist/fezbox.cjs dosyasında yer almaktadır (örneğin 1.3.0 versiyonu). Socket’ten tehdit analisti Olivia Brown, kodun dosyada minify edilmiş şeklinin, biçimlendirilerek daha okunabilir hale getirilebileceğini belirtmektedir.
Kodun koşulları, uygulamanın bir geliştirme ortamında mı yoksa üretim ortamında mı çalıştığını kontrol etmektedir. “Bu genellikle bir gizlilik taktiğidir. Tehdit aktörü, bir sanal ortamda veya herhangi bir üretim dışı ortamda yakalanmak istemez, bu nedenle istismarlarının nasıl çalışacağını belirlemek için genellikle belirli önlemler alırlar,” diyor Brown.
“120 saniye sonra, bir QR kodundan kodu çözerek çalıştırır,” diye ekliyor.
Görüntüdeki ters çevrilmiş karakter dizisi, şu şekilde görünmektedir:
hxxps://res[.]cloudinary[.]com/dhuenbqsq/image/upload/v1755767716/b52c81c176720f07f702218b1bdc7eff_h7f6pn.jpg
URL’nin tersten saklanması, saldırganın, kodda URL’leri arayan statik analiz araçlarını aşmak için kullandığı bir gizlilik tekniğidir.
Yüklenen QR Kodu
Yukarıdaki URL tarafından döndürülen QR kodu, geleneksel pazarlama veya iş ortamlarında gördüğümüz QR kodlardan oldukça farklıdır. Bu QR kodu çok fazla veri içermektedir ve standart telefon kameralarıyla güvenilir bir şekilde okunamamaktadır. Tehdit aktörleri, bu barkodu, paketin çözebileceği obfuscate edilmiş kodu iletmek için özel olarak tasarlamışlardır.
Araştırmacı, obfuscate edilmiş yükün, document.cookie aracılığıyla bir çerezi okuyacağını açıklamaktadır. “Daha sonra kullanıcı adı ve şifreyi elde eder, yine burada da karakter dizisini ters çevirme taktiğini görüyoruz (drowssap kelimesi ehetonu).”
“Eğer çalıntı çerezde hem bir kullanıcı adı hem de şifre varsa, bu bilgiyi HTTPS POST isteği ile https://my-nest-app-production[.]up[.]railway[.]app/users adresine gönderir. Aksi takdirde sessizce çıkar.”
Sosyal mühendislik dolandırıcılıklarında QR kodların kullanıldığı sayısız örnek görmüş bulunmaktayız. Ancak bu durumlar, insan müdahalesini gerektirmektedir; yani QR kodunu taramak ve bir phishing sitesine yönlendirilmek gibi.
Socket’in bu haftaki keşfi, kırılmış makinelerin, bir komut ve kontrol (C2) sunucusu ile iletişim kurmasına olanak tanıyan yeni bir yaklaşımı göstermektedir. Bu iletişim, proxy veya ağ güvenlik araçları için sıradan görsel trafik gibi görünmektedir. Geleneksel steganografi genellikle zararlı kodları resimlerin, medya dosyalarının veya meta verilerin içine gizlemekteyken, bu yaklaşım bir adım daha ileri gitmekte ve tehdit aktörlerinin mevcut her ortamı istismar edeceğini göstermektedir.
