.png)
PikaBot'u Popüler Yazılım Kılığına Sokan Yeni Kötü Amaçlı Reklam Kampanyası
PikaBot olarak bilinen kötü amaçlı yazılım yükleyici, AnyDesk gibi meşru yazılımları arayan kullanıcıları hedefleyen kötü amaçlı bir reklam kampanyasının parçası olarak dağıtılıyor.
Malwarebytes'ten Jérôme Segura, "PikaBot daha önce yalnızca QakBot'a benzer şekilde kötü amaçlı spam kampanyaları aracılığıyla dağıtılıyordu ve TA577 olarak bilinen bir tehdit aktörü için tercih edilen yüklerden biri olarak ortaya çıktı" dedi.
İlk olarak 2023'ün başlarında ortaya çıkan kötü amaçlı yazılım ailesi, bir yükleyici ve diğer yükler için bir dağıtıcının yanı sıra bir arka kapı olarak çalışmasına izin veren bir çekirdek modülden oluşur.
Bu, tehdit aktörlerinin güvenliği ihlal edilmiş sistemlere yetkisiz uzaktan erişim elde etmesine ve rastgele kabuk kodu, DLL'ler veya yürütülebilir dosyalardan Cobalt Strike gibi diğer kötü amaçlı araçlara kadar bir komuta ve kontrol (C2) sunucusundan komutlar iletmesine olanak tanır.
Saldırılarında PikaBot'tan yararlanan tehdit aktörlerinden biri, geçmişte QakBot, IcedID, SystemBC, SmokeLoader, Ursnif ve Cobalt Strike'ı teslim eden üretken bir siber suç tehdit aktörü olan TA577'dir.
Geçen ay, PikaBot'un DarkGate ile birlikte QakBot'unkine benzer kötü amaçlı spam kampanyaları yoluyla yayıldığı ortaya çıktı. "Pikabot enfeksiyonu 207.246.99'da Kobalt Grevi'ne yol açtı[.] 159:443 Masterunis'i kullanarak[.] net etki alanı olarak, "Palo Alto Networks Unit 42 yakın zamanda açıkladı.
En son ilk bulaşma vektörü, arama sonuçları sayfasından bir kurban tarafından tıklandığında anadesky.ovmv[.] Dropbox'ta barındırılan kötü amaçlı bir MSI yükleyicisine işaret eden ağ.
Sahte web sitesine yönlendirmenin yalnızca isteğin parmak izi alındıktan sonra ve yalnızca sanal bir makineden kaynaklanmıyorsa gerçekleştiğini belirtmekte fayda var.
Segura, "Tehdit aktörleri, Cloudflare'ın arkasındaki özel alan adlarına yönlendirmek için meşru bir pazarlama platformu aracılığıyla bir izleme URL'si ile Google'ın güvenlik kontrollerini atlıyor" dedi. "Bu noktada, bir sonraki adıma yalnızca temiz IP adresleri iletilir."
İlginç bir şekilde, kurban web sitesindeki indirme düğmesine tıkladığında, muhtemelen sanallaştırılmış bir ortamda erişilebilir olmamasını sağlamak için ek bir girişimde bulunduğunda ikinci bir parmak izi turu gerçekleşir.
Malwarebytes, saldırıların FakeBat (diğer adıyla EugenLoader) olarak bilinen başka bir yükleyici kötü amaçlı yazılımı yaymak için kullanılan daha önce tanımlanmış kötü amaçlı reklam zincirlerini anımsattığını söyledi.
.png)
Segura, "Bu özellikle ilginç çünkü farklı tehdit aktörleri tarafından kullanılan ortak bir sürece işaret ediyor" dedi. "Belki de bu, Google reklamlarının ve sahte sayfaların kötü amaçlı yazılım dağıtıcılarına sağlandığı 'hizmet olarak kötü amaçlı reklam'a benzer bir şeydir."
Açıklama, siber güvenlik şirketinin, HiroshimaNukes ve FakeBat adlı daha önce hiç görülmemiş bir yükleyici sunmak için Zoom, Advanced IP Scanner ve WinSCP gibi popüler yazılımlar için Google aramaları yoluyla kötü amaçlı reklamlarda bir artış tespit ettiğini söylemesinin ardından geldi.
Segura, "[HiroshimaNukes], DLL yandan yüklemesinden çok büyük yüklere kadar algılamayı atlamak için çeşitli teknikler kullanıyor" dedi. "Amacı, genellikle bir hırsız ve ardından veri hırsızlığı olmak üzere ek kötü amaçlı yazılımları bırakmaktır."
Kötü amaçlı reklamlardaki artış, tarayıcı tabanlı saldırıların hedef ağlara sızmak için nasıl bir kanal görevi gördüğünün göstergesidir. Bu aynı zamanda, tehdit aktörlerinin "birden çok kaynaktan son derece hassas bilgileri izlemesine, manipüle etmesine ve sızdırmasına" olanak tanıyan ParaSiteSnatcher kod adlı yeni bir Google Chrome uzantı çerçevesini de içerir.
Latin Amerika'daki kullanıcıları tehlikeye atmak için özel olarak tasarlanan hileli uzantı, hassas hesap ve finansal bilgiler içeren tüm POST isteklerini engellemek ve sızdırmak için Chrome Tarayıcı API'sini kullanmasıyla dikkat çekiyor. Dropbox ve Google Cloud'da barındırılan bir VBScript indiricisi aracılığıyla indirilir ve virüslü bir sisteme yüklenir.
Trend Micro geçen ay yaptığı açıklamada, "Uzantı yüklendikten sonra, Chrome uzantısı aracılığıyla etkinleştirilen kapsamlı izinlerin yardımıyla ortaya çıkıyor ve web oturumlarını, web isteklerini manipüle etmesine ve Chrome sekmeleri API'sini kullanarak birden çok sekmedeki kullanıcı etkileşimlerini izlemesine olanak tanıyor" dedi.
"Kötü amaçlı yazılım, çalışmasını kolaylaştıran çeşitli bileşenleri, web sayfalarına kötü amaçlı kod enjeksiyonunu sağlayan içerik komut dosyalarını, Chrome sekmelerini izlemeyi ve kullanıcı girişini ve web tarayıcısı iletişimini engellemeyi içerir."
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı