Malvertising Kampanyası
Microsoft, bu faaliyetleri Aralık 2024’ün başlarında tespit etti ve bu saldırıları “Storm-0408” adı altında izliyor. Saldırılar, yasa dışı yayın izleme sitelerinden gelen malvertising yönlendiricileri aracılığıyla başladı. Kullanıcılar, GitHub ve diğer iki platforma yönlendirilmeden önce bir ara web sitesine yönlendirildi.
Kampanya, tüketici ve kurumsal cihazları içeren çok çeşitli organizasyonları ve sektörleri etkiledi. GitHub, başlangıç erişim yüklerinin dağıtılması için bir platform olarak kullanıldı. İki diğer durumda ise, yükler Discord ve Dropbox’ta barındırıldı. Bu kod barındırma servisi, sistem bilgilerini toplayabilen Lumma Stealer ve Doenerium gibi ek programların dağıtılmasından sorumlu olan dropper zararlı yazılımının yer aldığı bir geçiş platformu olarak kullanıldı.
Saldırı, yasa dışı yayın izleme sitelerinde korsan içerik barındıran iframe öğeleri aracılığıyla yerleştirilen ilk yönlendiricinin bulunduğu dört ila beş katmanlı bir yönlendirme zinciri kullanmaktadır. Genel enfeksiyon sırası, sistem keşfi, bilgi toplama ve NetSupport RAT ve AutoIT betikleri gibi takip yüklerinin veri çalmasını kolaylaştıran çok aşamalı bir süreçtir. Uzak erişim trojanı aynı zamanda bilgi hırsızlığı yazılımlarına aracılık eder.
Aşamalar:
- İlk Aşama – Hedef cihazlarda yerleşim sağlama
- İkinci Aşama – Sistem keşfi, toplama, dışa aktarım ve yük teslimi
- Üçüncü Aşama – Komut yürütme, yük teslimi, savunma kaçışı, süreklilik, komut ve kontrol iletişimi ve veri dışa aktarımı
- Dördüncü Aşama – Microsoft Defender dışlama yapılandırmasını ayarlayan ve uzak bir sunucudan veri indirmek için komutlar çalıştıran PowerShell betiği
Malvertising Kampanyası
Saldırıların diğer özellikleri arasında, NetSupport RAT’ı indirmek için kullanılan çeşitli PowerShell betikleri ve yüklü uygulamaları ve güvenlik yazılımlarını tanımlama, özellikle de kripto para cüzdanlarını arama gibi eylemler bulunmaktadır. Bu durum, finansal veri çalınmasını gösterebilir.
Microsoft, bilgi hırsızlarının yanı sıra PowerShell, JavaScript, VBScript ve AutoIT betiklerinin de çalıştırıldığını belirtti. Tehdit aktörleri, kullanıcı verilerini ve tarayıcı kimlik bilgilerini C2 ve veri dışa aktarımı için kullanmak amacıyla PowerShell.exe, MSBuild.exe ve RegAsm.exe gibi yerleşik dosya ve betikler (LOLBAS) kullandılar.
Bu açıklama, Kaspersky’nin daha önce belgelenmemiş bir Python bilgi hırsızını kurbanlara yükletmek için DeepSeek ve Grok yapay zeka sohbet botları gibi sahte web sitelerinin kullanıldığını açıklamasıyla birlikte geldi. DeepSeek temalı sahte siteler, doğrulanmış hesaplar tarafından PowerShell betiği çalıştırarak, saldırganların bilgisayara uzak erişim sağlamasına olanak tanıyan SSH kullanıyordu.
Rus siber güvenlik şirketi Kaspersky, zararlıların kurbanları kötü niyetli kaynaklara yönlendirmek için çeşitli şemalar kullandığını belirtti. Bu tür sitelere linkler genellikle mesajlaşma uygulamaları ve sosyal ağlar aracılığıyla dağıtılmaktadır. Saldırganlar ayrıca, yanlış yazım taktikleri veya kötü amaçlı sitelere reklam trafiği satın almak için birçok bağlı program kullanabiliyor.
Daha fazla bilgi için tıklayabilirsiniz.
Diğer yazılarımıza ulaşmak için tıklayabilirsiniz.
Leave a Comment