Bilgisayar Korsanları Kötü Amaçlı Yazılımları Gizlemek, VIP Keylogger ve 0bj3ctivity Stealer Dağıtmak İçin Görüntüleri Kullanıyor

HP Wolf Security'nin 2024 Üçüncü Çeyrek Tehdit İçgörüleri Raporu'na göre siber suçlular, VIP Keylogger ve 0bj3ctivity Stealer gibi kötü amaçlı yazılımları dağıtmak için görüntü dosyalarına kötü amaçlı kod yerleştirerek gizli taktiklerini bir üst seviyeye taşıyor. Bu gelişmiş kampanyalar, geleneksel tespit yöntemlerini atlatarak kötü amaçlı yazılımları dağıtmak için Archive.org gibi güvenilir platformları kullanıyor.

Saldırı Nasıl İşliyor: Görüntülerde Gizli Kötü Amaçlı Yazılım

Kampanyalar , kurbanları kötü amaçlı ekleri açmaya kandırmak için tasarlanmış bir kimlik avı e-postasıyla başlar. Bu e-postalar genellikle güvenilirlik oluşturmak için faturaları veya satın alma siparişlerini taklit eder. Ek, açıldığında, bir VBScript dosyasını indirmek için güncel olmayan Microsoft Equation Editor güvenlik açığı ( CVE-2017-11882 ) için bir istismarı tetikler.

Saldırı Zinciri

1. Kimlik Avı E-postası : Mağdurlar, kötü amaçlı ekler içeren aldatıcı bir e-posta alırlar.
2. VBScript Çalıştırma : İndirilen VBScript bir PowerShell betiğini çalıştırır.
3. Görüntü Alma : PowerShell, Archive.org'dan bir görüntü indirir.
4. Kötü Amaçlı Kod Çıkarımı : Görüntü, .NET yürütülebilir dosyasına çıkarılıp çözülen Base64 kodlu kötü amaçlı yazılım içeriyor.
5. Yük Dağıtımı : .NET yükleyicisi son kötü amaçlı yazılım yükünü yükler.

İlk kampanyada, bu yük, tuş vuruşlarını, pano içeriğini, ekran görüntülerini ve kimlik bilgilerini yakalamak için tasarlanmış bir araç olan VIP Keylogger'dır. İkinci kampanyada, yük, bilgi çalan bir kötü amaçlı yazılım olan 0bj3ctivity Stealer'dır.

Kötü Amaçlı Yazılım Kitleri Saldırganlar İçin Engelleri Azaltır

İki kampanya arasındaki benzerlikler, siber suçluların kötü amaçlı yazılım kitlerinden yararlandığını gösteriyor. Bu kitler saldırı sürecini basitleştiriyor ve karmaşık enfeksiyon zincirlerini yürütmek için gereken teknik uzmanlığı azaltıyor. Bu eğilim, önceden oluşturulmuş araçların acemi saldırganların bile kötü amaçlı yazılımları dağıtmasını kolaylaştırdığı siber suçun giderek daha fazla meta haline gelmesini yansıtıyor.

Kullanılan Ek Teknikler

HP Wolf Security ayrıca HTML kaçakçılığını tamamlayıcı bir taktik olarak tanımladı. Bu yöntemde saldırganlar, kötü amaçlı HTML dosyalarında gizlenmiş AutoIt dropper'ları kullanarak XWorm RAT gibi kötü amaçlı yazılımlar dağıttı. Bu dosyaların bazılarının GenAI araçları kullanılarak oluşturulduğu bildirildi ve bu da yapay zekanın kötü amaçlı yazılım dağıtımını ve karartmayı geliştirmek için nasıl kullanıldığını gösteriyor.

GitHub Kampanyaları Lumma Hırsızını Getiriyor

Dikkat çekici bir diğer kampanya ise video oyunu hileleri ve değişiklik araçları için kaynak olarak poz veren GitHub depolarının kullanımını içeriyordu. Bu depolar, .NET tabanlı dropper'lar aracılığıyla gizlice Lumma Stealer kötü amaçlı yazılımını dağıtarak, saldırganların popüler platformları nasıl istismar ederek şüphesiz kullanıcıları hedef aldığını vurguladı.

Görüntü Tabanlı Saldırılar Neden Tehdit Oluşturuyor?

Görüntülere kötü amaçlı yazılım yerleştirmek, kötü amaçlı kodu görünüşte zararsız dosyalara gizleyen steganografi olarak bilinen bir tekniktir. Bu yöntem, görüntü dosyalarını inceleme olasılığı daha düşük olan birçok antivirüs sistemini atlatır. Archive.org gibi güvenilir barındırma platformlarının kullanımı, tespit çabalarını daha da karmaşık hale getirir.

Kuruluşlar için Azaltma Stratejileri

Bu gelişen tehditlere karşı savunma sağlamak için kuruluşların aşağıdaki önlemleri uygulaması gerekir:

1. Bilinen Güvenlik Açıklarını Düzeltin : CVE-2017-11882 gibi güncel olmayan yazılım güvenlik açıklarını giderin.
2. Gelişmiş Tehdit Algılama Özelliğini Etkinleştirin : Steganografi ve şüpheli dosya davranışlarını algılayabilen çözümler kullanın.
3. Çalışanlarınızı Eğitin : Çalışanlarınıza kimlik avı e-postalarını tanımaları ve beklenmeyen ekleri açmaktan kaçınmaları konusunda eğitim verin.
4. Güvenilir Kaynaklara Erişimi Sınırlayın : Dosya paylaşım platformlarının kullanımını onaylı etki alanlarıyla sınırlayın.

Siber Suçun Artan Metalaşması

Kötü amaçlı yazılım kitleri daha erişilebilir hale geldikçe, tüm beceri seviyelerindeki saldırganlar etkili enfeksiyon zincirleri oluşturabilir. Yapay zeka araçlarının kötü amaçlı yazılım oluşturma sürecine entegre edilmesi, siber güvenlik savunucuları için zorluğu daha da artırarak saldırıları daha çeşitli ve atfedilmesi daha zor hale getirir.

HP Wolf Security'nin bulguları, bu gelişen tehditlerin önünde kalmanın aciliyetini vurguluyor. Proaktif savunma stratejileri benimseyerek ve ortaya çıkan taktikleri izleyerek, kuruluşlar ağlarını bu karmaşık kampanyalara karşı daha iyi koruyabilir.