Yeni Siber Tehdit 'Boolka', SQLi Saldırıları Yoluyla BMANAGER Truva Atı Dağıtıyor

Boolka adlı daha önce belgelenmemiş bir tehdit aktörünün, BMANAGER kod adlı modüler bir truva atı sunmak için web sitelerini kötü amaçlı komut dosyalarıyla tehlikeye attığı gözlemlendi.

Group-IB araştırmacıları Rustam Mirkasymov ve Martijn van den Berk, geçen hafta yayınlanan bir raporda, "Bu kampanyanın arkasındaki tehdit aktörü, en az 2022'den beri çeşitli ülkelerdeki web sitelerine karşı fırsatçı SQL enjeksiyon saldırıları gerçekleştiriyor" dedi.

"Son üç yıldır, tehdit aktörleri, virüslü bir web sitesine girilen herhangi bir veriyi ele geçirebilen kötü amaçlı JavaScript komut dosyalarıyla savunmasız web sitelerine bulaştırıyor."

Boolka, adını web sitesine eklenen ve "boolka[.] tk" şüphelenmeyen bir ziyaretçi virüslü siteye her indiğinde.

JavaScript ayrıca, kullanıcı girdilerini ve etkileşimlerini Base64 kodlu bir biçimde toplamak ve sızdırmak için tasarlanmıştır, bu da kötü amaçlı yazılımın kimlik bilgileri ve diğer kişisel bilgiler gibi hassas ayrıntıları almak için kullanıldığını gösterir.

Ayrıca, kullanıcıları, kurbanlardan bir tarayıcı uzantısı indirip yüklemelerini isteyen sahte bir yükleme sayfasına yönlendirir, gerçekte, BMANAGER truva atı için bir indirici bırakır ve bu da kötü amaçlı yazılımı sabit kodlanmış bir URL'den almaya çalışır. Kötü amaçlı yazılım dağıtım çerçevesi, BeEF çerçevesini temel alır.

Truva atı, kendi adına, BMBACKUP (belirli yollardan dosyaları topla), BMHOOK (hangi uygulamaların çalıştığını ve klavye odağına sahip olduğunu kaydet), BMLOG (günlük tuş vuruşları) ve BMREADER (çalınan verileri dışa aktar) dahil olmak üzere dört ek modülü dağıtmak için bir kanal görevi görür. Ayrıca, zamanlanmış görevleri kullanarak konakta kalıcılığı ayarlar.

Araştırmacılar, "Çoğu örnek yerel bir SQL veritabanını kullanıyor" dedi. "Bu veritabanının yolu ve adı, şu konumda bulunacak örneklerde sabit kodlanmıştır: C:\Users\{user}\AppData\Local\Temp\coollog.db, kullanıcı oturum açmış kullanıcının kullanıcı adıdır."

Boolka, GambleForce ve ResumeLooters'tan sonra son aylarda hassas verileri çalmak için SQL enjeksiyon saldırılarından yararlanan üçüncü aktör.

Araştırmacılar, "2022'deki fırsatçı SQL enjeksiyon saldırılarından başlayarak kendi kötü amaçlı yazılım dağıtım platformunun ve BMANAGER gibi truva atlarının geliştirilmesine kadar, Boolka'nın operasyonları grubun taktiklerinin zaman içinde daha karmaşık hale geldiğini gösteriyor" dedi.

"Veri hırsızlığı için savunmasız web sitelerine kötü amaçlı JavaScript parçacıklarının yerleştirilmesi ve ardından kötü amaçlı yazılım dağıtımı için BeEF çerçevesinin kullanılması, saldırganın yetkinliklerinin adım adım gelişimini yansıtıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.