AgingFly Malware Tehdidi
Yeni bir zararlı yazılım ailesi olan “AgingFly”, yerel hükümetler ve hastaneler üzerinde gerçekleştirilen saldırılarda tespit edilmiştir. Bu yazılım, Chromium tabanlı tarayıcılardan ve WhatsApp’tan kimlik doğrulama verilerini çalmaktadır, bu da siber güvenlik açısından büyük bir tehdit oluşturmakta.
Saldırı Nasıl Çalışıyor?
Ukrayna CERT ekibine göre, saldırı süreci şu şekilde işlemektedir:
- Hedefler, insani yardım teklifi gibi görünen bir e-posta alarak, içindeki bağlantıya tıklamaya teşvik edilir.
- Bu bağlantı, bir XSS zafiyeti ile ele geçirilmiş bir yasal siteye ya da bir yapay zeka aracı ile oluşturulmuş sahte bir siteye yönlendirir.
- Hedef, HTA dosyasını yüklemek için bir kısayol dosyası (LNK) içeren bir arşiv alır. HTA dosyası, uzaktaki bir kaynağa bağlanarak yürütülür.
- HTA, dikkat dağıtmak amacıyla bir sahte form gösterir ve bir zamanlanmış görev oluşturarak, EXE yükünü indirip çalıştırır.
Saldırganlar, iki aşamalı bir yükleyici kullanarak, ikinci aşamada özel bir yürütülebilir formatla son yükü sıkıştırıp şifreler. CERT-UA, “tipik bir TCP ters kabuk ya da RAVENSHELL olarak sınıflandırılan bir alternatifin stager olarak kullanılabileceğini” belirtiyor.
Daha sonra, XCOR şifreleme yöntemiyle şifrelenmiş bir TCP bağlantısı kurularak komutlar, Windows’taki Komut İstemi aracılığıyla yürütülür.
Etkilenen Sistemler
AgingFly, şu özelliklere sahip sistemlerde etkili olmaktadır:
- Chromium tabanlı tarayıcılar (örneğin, Google Chrome, Edge, Brave)
- WhatsApp uygulaması için Windows sürümü
Araştırmacılar, saldırganın tarayıcı bilgilerini çalmak için “ChromElevator” güvenlik aracını kullanarak, yönetici ayrıcalıkları gerektirmeden çerezler ve kayıtlı şifreleri deşifre edebildiğini tespit etmiştir. Ayrıca, saldırganın ZAPiDESK isimli açık kaynak adli bilim aracı ile verileri çıkarmaya çalıştığı ortaya çıkmıştır.
Malware’nin Özellikleri
AgingFly, uzaktan kontrol, komut yürütme, dosya dışa aktarma, ekran görüntüsü alma ve keylogging gibi işlevlere sahip bir C# zararlısıdır. C2 sunucusuyla WebSockets aracılığıyla iletişim kurmakta ve trafiği AES-CBC ile statik bir anahtar kullanarak şifrelemektedir.
CERT-UA’ya göre, AgingFly’ın ayırt edici özelliği, önceden oluşturulmuş komut işleyicilerinin bulunmaması ve bunun yerine C2 sunucusundan alınarak yerel olarak derlenen komutların kullanılmasının gerekliliğidir. Bu durum, başlangıçta daha küçük bir yük sağlamakta ancak C2 bağlantısına bağımlılık ve algılama riskini artırmaktadır.
Çözüm ve Korunma
CERT-UA, kullanıcıların LNK, HTA ve JS dosyalarının çalıştırılmasını engellemelerini önermektedir. Bu, saldırı zincirinin kesilmesine yardımcı olacaktır. Ayrıca, sistemlerinizi aşağıdaki şekilde güncellemelisiniz:
- Uygulamalarınızı ve işletim sistemi güncellemelerini düzenli olarak kontrol edin.
- Güvenlik duvarlarını etkinleştirin ve gereksiz portları kapatın.
- Yetkilendirilmemiş yazılımların yüklenmesini engelleyin.
Sonuç olarak, AgingFly gibi tehditlere karşı hazırlıklı olmak ve proaktif önlemler almak, siber güvenliğinizi güçlendirecektir. Sisteminizi sık sık gözden geçirin ve gerektiğinde güncellemelerinizi gerçekleştirin.
