Siber Muhbir

Fortinet FortiGuard Labs araştırmacısı Yurren Wan, "Saldırganlar, kötü amaçlı yazılımları Amazon Web Services (AWS) ve GitHub gibi kamu hizmetlerinde depoladı ve kötü amaçlı yazılımın tespit edilmesini önlemek için ticari bir koruyucu kullandı" dedi.

Kampanyanın alışılmadık bir yönü, VCURMS'un bir Proton Mail e-posta adresi kullanmasıdır ("sacriliage@proton[.] me") bir komut ve kontrol (C2) sunucusuyla iletişim kurmak için.

Saldırı zinciri, alıcıları ödeme bilgilerini doğrulamak için bir düğmeye tıklamaya teşvik eden bir kimlik avı e-postasıyla başlar ve AWS'de barındırılan kötü amaçlı bir JAR dosyasının ("Payment-Advice.jar") indirilmesiyle sonuçlanır.

JAR dosyasının yürütülmesi, iki JAR dosyasının daha alınmasına yol açar ve bunlar daha sonra ikiz truva atlarını başlatmak için ayrı olarak çalıştırılır.

Aktör tarafından kontrol edilen adrese "Hey usta, çevrimiçiyim" mesajını içeren bir e-posta göndermenin yanı sıra, VCURMS RAT, iletilecek komutu mektubun gövdesinden çıkarmak için belirli konu satırlarına sahip e-postalar için posta kutusunu periyodik olarak kontrol eder.

Bu, cmd.exe kullanarak rastgele komutlar çalıştırmayı, sistem bilgilerini toplamayı, ilgilenilen dosyaları aramayı ve yüklemeyi ve aynı AWS uç noktasından ek bilgi hırsızı ve keylogger modüllerini indirmeyi içerir.

Bilgi hırsızı, Discord ve Steam gibi uygulamalardan, kimlik bilgilerinden, çerezlerden ve çeşitli web tarayıcılarından otomatik doldurma verilerinden, ekran görüntülerinden ve güvenliği ihlal edilmiş ana bilgisayarlar hakkında kapsamlı donanım ve ağ bilgilerinden hassas verileri sifonlama yetenekleriyle donatılmıştır.

VCURMS'in, geçen yılın sonlarında vahşi doğada ortaya çıkan Rude Stealer kod adlı başka bir Java tabanlı bilgi hırsızı ile benzerlikler paylaştığı söyleniyor. Öte yandan STRRAT, en az 2020'den beri vahşi doğada tespit edildi ve genellikle sahte JAR dosyaları şeklinde yayıldı.

Wan, "STRRAT, bir keylogger olarak hizmet etmek ve tarayıcılardan ve uygulamalardan kimlik bilgilerini çıkarmak gibi çok çeşitli yeteneklere sahip Java kullanılarak oluşturulmuş bir RAT'tır" dedi.

Açıklama, Darktrace'in Dropbox bulut depolama hizmetinden "no-reply@dropbox[.] com", Microsoft 365 oturum açma sayfasını taklit eden sahte bir bağlantı yaymak için.

Şirket, "E-postanın kendisi, bir kullanıcıyı Dropbox'ta barındırılan ve görünüşe göre kuruluşun bir ortağının adını taşıyan bir PDF dosyasına yönlendirecek bir bağlantı içeriyordu" dedi. "PDF dosyası, müşterinin ortamında daha önce hiç görülmemiş bir etki alanına şüpheli bir bağlantı içeriyordu, 'mmv-security[.] üst.'"

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.