AutoCAD, JetBrains ve Foxit PDF editörü gibi uygulamaları kullananlar da dahil olmak üzere binlerce kişi, en az Şubat 2023’ten beri aktif olan karmaşık bir veri çalma ve kripto madenciliği kötü amaçlı yazılım kampanyasının kurbanı oldu.
Arkasındaki henüz tanımlanamayan tehdit aktörü, kötü amaçlı yazılımı forum gönderileri ve yasa dışı torrentler aracılığıyla dağıtıyor. Kötü amaçlı yazılımın etkisini azaltmayı zorlaştıran şey, komuta ve kontrol (C2) iletişimlerini ve veri sızdırma faaliyetlerini müdahale ve analize karşı korumak için SSL sabitleme ve TLSv1.3 şifreleme kullanmasıdır.
Kaspersky’deki araştırmacılar keşfedildi kötü amaçlı yazılım onu ”SteelFox” olarak izliyor. Bu haftaki bir raporda, tehdidin özel olarak herhangi bir kullanıcıyı, grubu veya kuruluşu hedef almadığı belirtildi. Güvenlik sağlayıcısının araştırmacıları, “Bunun yerine, daha sonra işlenebilecek her veri parçasını çıkararak büyük ölçekte hareket ediyor” dedi. “Modern C++’ın son derece gelişmiş kullanımı ve harici kütüphaneler, bu kötü amaçlı yazılıma müthiş bir güç kazandırıyor.”
Çoğunlukla Brezilya, Çin, Rusya, Meksika ve Meksika dahil 10 ülkede 11.000’den fazla kişinin kötü amaçlı yazılım paketinin kurbanı olduğu görülüyor. Birleşik Arap Emirlikleri.
Her iki durumda da ilk erişim, SteelFox’un etkili bir uygulama aktivatörü, yani kullanıcıların lisanslama mekanizmalarını atlamasına ve ticari bir uygulamayı ücretsiz olarak etkinleştirmesine olanak tanıyan bir araç olarak reklamını yapan kişilerin gönderilerde hareket etmesinden kaynaklandı. SteelFox’un etkinleştirici olduğunu iddia ettiği uygulamalar arasında Foxit PDF Editor, JetBrains ve AutoCAD yer alıyordu.
Araştırmacılar, “Bu damlalıklar reklamı yapılan işlevselliğe sahip olsa da, aynı zamanda karmaşık kötü amaçlı yazılımları doğrudan kullanıcının bilgisayarına da gönderiyorlar” diye yazdı.
Gelişmiş Uygulama Zinciri
Kaspersky’nin JetBrains için SteelFox aktivatörüne ilişkin analizi, kötü amaçlı yazılımın ilk erişime sahip olduktan sonra kullanıcının sistemine yönetici erişimi istediğini gösterdi. Daha sonra bu erişimi, uygulama etkinleştiricisini bilgisayarın Progra Dosyaları klasörüne yüklemeye başlamak için kullanır. İşlem sırasında SteelFox, 64 bit Windows sistemleri (PE64) için kötü amaçlı bir Taşınabilir Yürütülebilir dosya da bırakır. Dosya, değiştirilmiş bir sürümünü alıp dağıtmadan önce bir dizi yürütme adımından geçer. XMRig madeni para madencisi bir madencilik havuzuna sabit kodlanmış kimlik bilgileri ile.
Kötü amaçlı yazılım daha sonra C2 sunucusuna bağlanır ve bu noktada ayrı bir veri çalma bileşeni tetiklenir. Hırsız, öncelikle kurbanın sistemlerindeki tarayıcıları sıralar veya belirler ve kredi kartı verileri, çerezler, tarama geçmişi ve kullanıcının ziyaret etmiş olabileceği sitelerin listesi dahil olmak üzere çeşitli verileri çalmak için işlevler dağıtır. Kaspersky’nin, hırsızın ele geçirilen sistemlerden sızdığını tespit ettiği diğer veriler arasında yüklü tüm yazılımlara ilişkin bilgiler, kablosuz arayüzler ve parolalar gibi ağ bilgileri, sürücü adları ve türleri, kullanıcı bilgileri ve RDP oturum bilgileri yer alıyordu.
Güvenlik satıcısı, kötü amaçlı yazılımın yazarlarının, savunucuların tehdidi tespit etmesini ve ona karşı önlem almasını zorlaştırmak için uyguladığı çeşitli mekanizmalara dikkat çekti. Örneğin, ilk aşamadaki yürütülebilir dosya şifrelenir ve bu da analizi zorlaştırır. İlk PE64 yükü, dağıtımdan sonra zaman damgalarının üzerine yazılarak ve tespit edilmeyi önlemek için rastgele önemsiz veriler eklenerek değiştirilir. Kalıcılık sağlamak için, ikinci aşama veri yükü bir Windows hizmeti oluşturur ve onu, sistem yeniden başlatıldığında kötü amaçlı yazılımın etkin kalmasını sağlamak için otomatik olarak başlayacak şekilde yapılandırır. Gerçek veri yükünün yürütülmesinden önce, kötü amaçlı yazılım, çoğu kullanıcının erişemeyeceği ayrıcalıklar gerektiren bir Windows hizmetinin içinden başlatılır ve yüklenir.
Kaspersky, “Bu, bu yükleyiciye karşı herhangi bir kullanıcı eylemini imkansız hale getiriyor çünkü bu örneğin kopyalanması bile NT\SYSTEM ayrıcalıkları gerektiriyor.” dedi.
Savunmacılar için Büyüyen Bir Zorluk
SteelFox’un kullanımı SSL sabitleme — bir istemci uygulamasının veya aygıtının belirli bir sertifikayı veya ortak anahtarı kullandığı durumlarda — ve C2 iletişimi için TLSv.3 şifreleme protokolü başka bir sorundur çünkü kötü amaçlı yazılımın düşük tespit riskiyle gizlice çalışmasına izin verir.
Kaspersky araştırmacıları, “SteelFox yakın zamanda ortaya çıktı ve tam özellikli bir suç yazılımı paketi. Bu kampanyanın arkasındaki aktörlerin ilgisini çekebilecek çeşitli kullanıcı verilerini çalabiliyor” diye yazdı.
SteelFox, güvenlik araştırmacılarının, tehdit aktörlerinin kötü amaçlı yazılımlarına ve taktiklerine dahil etmeye başladıkları artan karmaşıklık olarak tanımladıkları şeyin yalnızca en son tezahürüdür. Bir diğer güncel örnek ise bir tehdit aktörünün kullandığı CRON#TRAP kampanyasıdır. özel öykünülmüş QEMU Linux ortamları Kötü amaçlı yazılımları yerleştirmek ve kötü amaçlı komutları neredeyse tespit edilemeyecek bir şekilde yürütmek için. Mayıs ayında Elastic Security’nin raporuna göre Hayalet Motor diğer şeylerin yanı sıra, uç nokta tespitini ve yanıt mekanizmalarını etkili bir şekilde ortadan kaldıracak işlevlere sahip çok modlu bir kötü amaçlı yazılım araç seti. Üretken yapay zeka (GenAI) araçlarının yaygınlaşması ve kolay kullanılabilirliği, özellikle kötü amaçlı yazılım taktikleriyle ilgili son yeniliklerin bazılarını da körükledi. operasyonları ve yanlış bilgilendirme kampanyalarını etkilemek.
