Güvenlik araştırmacıları, şu anda düşük ödüllü saldırılar için kullanılmasına rağmen fidye yazılımı ve casus yazılım saldırıları için yeterince karmaşık ve güçlü olan Verblecon olarak izledikleri nispeten yeni bir kötü amaçlı yazılım yükleyici konusunda uyarıyorlar.
Verblecon örnekleri, bir yıldan fazla bir süredir var olmalarına rağmen, kodun polimorfik yapısı nedeniyle düşük bir algılama oranına sahiptir.
Radarın altında uçmak
Broadcom Software’in bir bölümü olan Symantec’ten araştırmacılar, geçen yıl Ocak ayında Verblecon’u keşfettiler ve güvenliği ihlal edilmiş makinelere kripto para madencileri kuran saldırılarda kullanıldığını gözlemlediler.
Araştırmacılar, bazı ipuçlarının saldırganın Discord sohbet uygulaması için erişim belirteçlerini çalmakla ilgilendiğine de işaret ettiğini ve bu hedeflerin Verblecon’un çok daha fazla zarar veren saldırılar için gerçekçi potansiyeliyle çeliştiğini de sözlerine ekledi.
Kötü amaçlı yazılım Java tabanlıdır ve polimorfik yapısı, çoğu durumda fark edilmeden güvenliği ihlal edilmiş sistemlere girmesine izin verir.
“Dosyanın polimorfik olması, şifreleme ve gizleme nedeniyle kötü amaçlı yazılım yükünün kodunun her indirildiğinde farklı göründüğü anlamına gelir. Saldırganlar, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için genellikle kötü amaçlı yazılımları bu şekilde paketler” – Symantec, Broadcom Software’in bir bölümü
Araştırmacıların analiz ettiği beş Verblecon örneğine bakıldığında, VirusTotal’daki antivirüs motorlarının çoğunun onları kötü amaçlı olarak işaretlemediği görülüyor.
Örneğin en eski örnek veri tabanına 16 Ekim 2021’de eklendi ve şu anda 56 antivirüs motorundan dokuzu tarafından algılanıyor.
Ancak Ocak 2022’nin sonundan itibaren daha yeni Verblecon yükleri, VirusTotal’daki antivirüs motorları tarafından neredeyse tamamen gözden kaçırılıyor.
Analiz ortamını kontrol etme
Symantec, kötü amaçlı yazılımın ve işlevlerinin teknik bir dökümünü yayınladı ve analiz edilen örneklerin “kod akışında, dizilerde ve sembollerde tamamen karartıldığını” ve bunların koda dayalı olabileceğini belirtti. kamuya açık.
Analizleri, kötü amaçlı yazılımın, hata ayıklanıyorsa sanal bir ortamda çalışıp çalışmadığını belirlemek için bazı kontroller yaptığını gösteriyor.
Ardından, sanal makine sistemleriyle ilgili dosyaları (yürütülebilir dosyalar, bağımlılıklar, sürücüler) içeren önceden tanımlanmış bir kataloğa göre kontrol edilen çalışan işlemlerin listesini getirir.
Tüm kontroller başarılı olursa, kötü amaçlı yazılım kendisini yerel bir dizine (%ProgramData%, %LOCALAPPDATA%, Users) kopyalar ve yükleme noktası olarak kullanılacak dosyalar oluşturur.
Symantec’in araştırmasına göre, Verblecon daha kapsamlı bir liste için bir alan oluşturma algoritması (DGA) kullanarak periyodik olarak aşağıdaki alanlardan birine bağlanmaya çalışır:
- hxxps://gaymerler[.]balta/
- hxxp://[DGA_NAME][.]tk/
Kullanılan DGA, geçerli saat ve tarihe dayanır ve kötü amaçlı yazılımın adının geldiği son ek olarak “verble” dizesini içerir.
İçinde teknik rapor Bugün yayınlanan Symantec araştırmacıları, komuta ve kontrol sunucuları (C2) ile ilk aşamadaki iletişimden sonra teslim edilen yükün “diğer örneklere benzer şekilde gizlendiğini ve sanallaştırma ortamını algılamak için benzer teknikleri içerdiğini” belirtiyor.
Analize göre, yükün ana işlevi, daha sonra virüslü ana bilgisayarda şifresi çözülen ve yürütme için %Windows%\SysWow64\dllhost.exe’ye enjekte edilen bir ikili (.BIN dosyası) indirip yürütmektir.
Araştırmacılar, Verblecon dağıtımlarının arkasındaki kişinin nihai amacının, bu tür bir karmaşıklığa sahip kötü amaçlı yazılım geliştirmek için gereken çabayla uyumlu olmayan kripto para birimi madenciliği yazılımı yüklemek olduğunu söylüyor.
Ek olarak, araştırmacılar, tehdit aktörünün bunu, Truva atlı video oyunu yazılımının reklamını yapmak için kullanmak üzere Discord belirteçlerini çalmak için kullanıyor olabileceğinden şüpheleniyorlar.
Verblecon, gözlemlerine göre, düşük karlılıkları nedeniyle nadiren daha karmaşık tehdit aktörleri kapsamında olan kurumsal olmayan makineleri hedefliyor.
Symantec, bir Verblecon etki alanını fidye yazılımı saldırısına bağlayan diğer raporların farkında olduklarını ancak bu örtüşmenin altyapının alakasız bir aktörle paylaşılmasından kaynaklandığına inandıklarını söylüyor.
Bununla birlikte, bu olayla ilgili kanıtlar yetersizdir ve benzerlikler aşağıdakilerle sınırlıdır:
- alan adında “verble” kullanımı
- yürütme için kabuk kodunun indirilmesi
- benzer şaşırtmaca
Araştırmacılar, Verblecon’un şu anda bu kötü amaçlı yazılım yükleyicinin tam zarar verme potansiyelini tanımayan bir aktör tarafından kullanıldığına inanıyor.
Daha sofistike siber suçlular ele geçirirse, onu fidye yazılımı ve hatta casusluk saldırıları için kullanabileceklerine inanıyorlar.