Tehdit aktörlerinin, ayrı kampanyaların bir parçası olarak VIP Keylogger ve 0bj3ctivity Stealer gibi kötü amaçlı yazılımları dağıtmak için görüntülerde kötü amaçlı kod gizledikleri gözlemlendi.
“Her iki kampanyada da saldırganlar arşive yükledikleri görüntülerde kötü amaçlı kod sakladılar[.]org, dosya barındırma web sitesi ve son yüklerini yüklemek için aynı .NET yükleyiciyi kullandılar.” HP Wolf Security söz konusu The Hacker News ile paylaşılan 2024’ün 3. Çeyreğine ilişkin Tehdit Analizleri Raporu’nda.
Başlangıç noktası, alıcıları Microsoft Excel belgeleri gibi kötü amaçlı ekleri açmaları için kandırmak amacıyla fatura ve satın alma siparişi kılığına giren ve açıldığında Denklem Düzenleyicisi’ndeki bilinen bir güvenlik açığından yararlanan bir kimlik avı e-postasıdır (CVE-2017-11882) bir VBScript dosyası indirmek için.
Komut dosyası, arşivde barındırılan bir görüntüyü alan bir PowerShell komut dosyasının kodunu çözmek ve çalıştırmak için tasarlanmıştır.[.]org’da Base64 kodlu bir kod çıkarır ve bu kodun kodu daha sonra bir .NET yürütülebilir dosyasına dönüştürülür ve yürütülür.
.NET yürütülebilir dosyası, VIP Keylogger’ı belirli bir URL’den indirmek için bir yükleyici görevi görür ve onu çalıştırarak, tehdit aktörlerinin virüslü sistemlerden tuş vuruşları, pano içeriği, ekran görüntüleri ve kimlik bilgileri dahil olmak üzere çok çeşitli verileri çalmasına olanak tanır. VIP Keylogger paylaşımları işlevsel örtüşmeler Snake Keylogger ve 404 Keylogger ile.
Benzer bir kampanyanın kötü amaçlı arşiv dosyalarını hedeflere e-postayla gönderdiği tespit edildi. Fiyat teklifi isteği gibi görünen bu mesajlar, ziyaretçileri arşiv içinde bir JavaScript dosyası açmaya ve ardından bir PowerShell betiğini başlatmaya teşvik etmeyi amaçlıyor.
Önceki durumda olduğu gibi, PowerShell betiği uzak bir sunucudan bir görüntü indirir, içindeki Base64 kodlu kodu ayrıştırır ve aynı .NET tabanlı yükleyiciyi çalıştırır. Farklı olan şey, saldırı zincirinin 0bj3ctivity adlı bir bilgi hırsızının konuşlandırılmasıyla sonuçlanmasıdır.
İki kampanya arasındaki paralellikler, tehdit aktörlerinin genel verimliliği artırmak için kötü amaçlı yazılım kitlerinden yararlandığını ve aynı zamanda saldırıları hazırlamak için gereken süreyi ve teknik uzmanlığı azalttığını gösteriyor.
HP Wolf Security ayrıca, AsyncRAT’ı benzer şekilde dağıtan önceki kampanyaları hatırlatan, kötü niyetli kişilerin XWorm uzaktan erişim truva atını (RAT) bir AutoIt damlatıcısı aracılığıyla düşürmek için HTML kaçakçılığı tekniklerine başvurduklarını gözlemlediğini söyledi.
HP, “Özellikle HTML dosyaları, bunların GenAI’nın yardımıyla yazıldığını düşündüren işaretler taşıyordu” dedi. “Etkinlik, saldırı zincirinin ilk erişim ve kötü amaçlı yazılım dağıtım aşamalarında GenAI’nin artan kullanımına işaret ediyor.”
“Aslında tehdit aktörleri, saldırıları ölçeklendirmek ve enfeksiyon oranlarını artırabilecek varyasyonlar oluşturmaktan ağ savunucularının ilişkilendirmesini zorlaştırmaya kadar GenAI’dan çok sayıda fayda elde edecek.”
Hepsi bu değil. Tehdit aktörlerinin, bir .NET damlalığı kullanarak Lumma Stealer kötü amaçlı yazılımını dağıtmak için video oyunu hileleri ve değişiklik araçlarının reklamını yapan GitHub depoları oluşturduğu görüldü.
HP Güvenlik Laboratuvarı’nın baş tehdit araştırmacısı Alex Holland, “Analiz edilen kampanyalar, siber suçların metalaştığına dair daha fazla kanıt sağlıyor” dedi. “Sayılara göre kötü amaçlı yazılım kitleri daha serbestçe bulunabildiğinden, daha uygun fiyatlı olduğundan ve kullanımı daha kolay olduğundan, sınırlı beceri ve bilgiye sahip acemiler bile etkili bir enfeksiyon zinciri oluşturabilir.”
