Siber Suçlular, Fidye Yazılımı Yüklerini Teslim Etmek İçin Kimlik Avı ve EV Sertifikalarını Birleştiriyor
RedLine ve Vidar bilgi hırsızlarının arkasındaki tehdit aktörlerinin, Genişletilmiş Doğrulama (EV) kod imzalama sertifikalarıyla imzalanan ilk yükleri yayan kimlik avı kampanyaları yoluyla fidye yazılımlarına yöneldiği gözlemlendi.
RedLine ve Vidar bilgi hırsızlarının arkasındaki tehdit aktörlerinin, Genişletilmiş Doğrulama (EV) kod imzalama sertifikalarıyla imzalanan ilk yükleri yayan kimlik avı kampanyaları yoluyla fidye yazılımlarına yöneldiği gözlemlendi.
Trend Micro araştırmacıları, bu hafta yayınlanan yeni bir analizde, "Bu, tehdit aktörlerinin tekniklerini çok amaçlı hale getirerek operasyonları düzene soktuğunu gösteriyor" dedi.
Siber güvenlik şirketi tarafından soruşturulan olayda, adı açıklanmayan bir kurbanın önce EV kod imzalama sertifikalarına sahip bir bilgi hırsızı kötü amaçlı yazılımı, ardından aynı dağıtım tekniğini kullanan fidye yazılımı aldığı söyleniyor.
Geçmişte, QakBot enfeksiyonları, güvenlik korumalarını atlamak için geçerli kod imzalama sertifikalarıyla imzalanmış örneklerden yararlandı.
Saldırılar, kurbanları PDF veya JPG görüntüleri gibi görünen kötü amaçlı ekleri çalıştırmaları için kandırmak için iyi yıpranmış tuzaklar kullanan kimlik avı e-postalarıyla başlar, ancak aslında çalıştırıldığında uzlaşmayı hızlı bir şekilde başlatan yürütülebilir dosyalardır.
Kurbanı hedef alan kampanya Temmuz ayında hırsız kötü amaçlı yazılım dağıtırken, Ağustos ayı başlarında sahte bir TripAdvisor şikayet e-posta eki ("TripAdvisor-Complaint.pdf.htm) içeren bir e-posta mesajı aldıktan sonra bir fidye yazılımı yükü ortaya çıktı ve fidye yazılımının dağıtılmasıyla sonuçlanan bir dizi adımı tetikledi.
Araştırmacılar, "Bu noktada, araştırdığımız bilgi hırsızı örneklerinin aksine, fidye yazılımı yükünü bırakmak için kullanılan dosyaların EV sertifikalarına sahip olmadığını belirtmekte fayda var" dedi.
"Ancak, ikisi aynı tehdit aktöründen kaynaklanıyor ve aynı dağıtım yöntemi kullanılarak yayılıyor. Bu nedenle, yük taşıyıcı ve operatörler arasında bir iş bölümü olduğunu varsayabiliriz."
Gelişme, IBM X-Force'un, bu yılın başlarında FormBook ve Remcos RAR'ı dağıtmak için bir kanal olarak kullanılan DBatLoader adlı bir kötü amaçlı yazılım yükleyicisinin geliştirilmiş bir sürümünü yayan yeni kimlik avı kampanyaları keşfetmesiyle geldi.
DBatLoader'ın yeni yetenekleri, UAC atlama, kalıcılık ve işlem enjeksiyonunu kolaylaştırarak, hassas bilgileri toplayabilen ve sistemlerin uzaktan kontrolünü sağlayabilen kötü amaçlı programları bırakmak için aktif olarak sürdürüldüğünü gösterir.
Haziran ayının sonundan bu yana tespit edilen son saldırılar, Agent Tesla ve Warzone RAT gibi ticari kötü amaçlı yazılımları da teslim etmek için tasarlandı. E-posta mesajlarının çoğu İngilizce konuşanları seçti, ancak İspanyolca ve Türkçe e-postalar da tespit edildi.
Şirket, "Gözlemlenen birkaç kampanyada tehdit aktörleri, kötü amaçlı e-postaların SPF, DKIM ve DMARC e-posta kimlik doğrulama yöntemlerini geçmesini sağlamak için e-posta altyapısı üzerinde yeterli kontrolden yararlandı" dedi.
"Kampanyaların çoğu, ek yükleri hazırlamak ve almak için OneDrive'dan yararlandı, aksi takdirde küçük bir kısmı aktarımdan yararlandı[.] sh veya yeni/güvenliği ihlal edilmiş etki alanları."
İlgili haberlerde Malwarebytes, yeni bir kötü amaçlı reklam kampanyasının, Google gibi arama motorlarında Cisco'nun Webex video konferans yazılımını arayan kullanıcıları BATLOADER kötü amaçlı yazılımını yayan sahte bir web sitesine yönlendirmek için hedeflediğini ortaya koydu.
BATLOADER, DanaBot olarak adlandırılan bilinen başka bir hırsız ve keylogger kötü amaçlı yazılımı olan ikinci aşama şifreli bir yükü indirmek için uzak bir sunucuyla iletişim kurar.
Tehdit aktörü tarafından benimsenen yeni bir teknik, izleme şablonu URL'lerinin parmak izi almak ve ilgilenilen potansiyel kurbanları belirlemek için bir filtreleme ve yeniden yönlendirme mekanizması olarak kullanılmasıdır. Kriterleri karşılamayan ziyaretçiler (ör. korumalı bir ortamdan kaynaklanan istekler) meşru Webex sitesine yönlendirilir.
Malwarebytes'in tehdit istihbaratı direktörü Jérôme Segura, "Reklamlar çok meşru göründüğü için, insanların onlara tıklayacağından ve güvenli olmayan siteleri ziyaret edeceğinden çok az şüphe var" dedi.
"Bu reklamlarda kullanılan yazılım türü, tehdit aktörlerinin kurumsal kurbanlarla ilgilendiğini ve bu sayede onlara daha fazla ağ 'sızma testi' ve bazı durumlarda fidye yazılımı dağıtımı için yararlı kimlik bilgileri sağladığını gösteriyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı