Siber suçlular, RedLine şifresini indirip yükleyen Excel XLL dosyalarını ve bilgi çalan kötü amaçlı yazılımları dağıtmak için web sitesi iletişim formlarını ve tartışma forumlarını spam olarak kullanmaktadır.
RedLine, web tarayıcılarında depolanan çerezleri, kullanıcı adlarını ve şifreleri ve kredi kartlarının yanı sıra virüslü bir cihazdan FTP kimlik bilgilerini ve dosyalarını çalan bilgi çalan bir Truva atıdır.
RedLine, veri çalmanın yanı sıra komutları yürütebilir, daha fazla kötü amaçlı yazılım indirebilir ve çalıştırabilir ve etkin Windows ekranının ekran görüntülerini oluşturabilir.
Tüm bu veriler toplanır ve suç pazarlarında satılmak üzere saldırganlara geri gönderilir veya diğer kötü amaçlı ve hileli faaliyetler için kullanılır.
İletişim formlarını ve tartışma forumlarını spam oluşturma
Son iki hafta içinde, BleepingComputer’ın iletişim formları, sahte reklam istekleri, tatil hediye rehberleri ve web sitesi promosyonları da dahil olmak üzere farklı kimlik avı yemleriyle birçok kez spam edildi.
Yemleri araştırdıktan sonra, BleepingComputer bunun halka açık forumlar veya makale yorum sistemleri kullanarak birçok web sitesini hedefleyen yaygın bir kampanya olduğunu keşfetti.
BleepingComputer tarafından görülen bazı kimlik avı yemlerinde, tehdit aktörleri kötü amaçlı yazılımı yüklemek için kullanılan kötü amaçlı Excel XLL dosyalarını barındırmak için sahte web siteleri oluşturmuştur.
Örneğin, bir kampanya aşağıdaki spam mesajını ve meşru Plutio sitesini taklit eden sahte bir web sitesini kullandı.
İşinizi yürütmek için ihtiyacınız olan her şey. Projeleri yönetin, göz kamaştırıcı teklifler oluşturun ve daha hızlı ödeme alın. Kara Cuma! Tüm planlar ÜCRETSİzDİr, kredi kartı gerekmez.
Kaynak: BleepingComputer
Diğer spam mesajlar, aşağıda gösterildiği gibi, Google Drive’da barındırılan kötü amaçlı XLL dosyalarına bağlantılar içeren ödeme raporları, reklam istekleri veya hediye rehberleri gibi davranmaktadır.
Kaynak: BleepingComputer
Özellikle ilgi çekici olan, web sitesi sahiplerini sitelerinde reklam verme istekleriyle hedef alan ve teklifin koşullarını gözden geçirmelerini isteyen bir yemdir. Bu kötü niyetli bir yol açar ‘terms.xll‘ dosyasını yükler.
Sitenizde bize 500 $ ‘dan reklam alanı satın
Şartlarımızı aşağıdaki linkte okuyabilirsiniz.
https://drive.google[.]com/dosya/d/xxx/view?usp=paylaşım
BleepingComputer tarafından bu hafta görülen diğer yemler şunlardır:
Uygulamamızı kullandığınız için teşekkür edin. Ödemeniz onaylandı. Ödeme raporunuzu aşağıdaki bağlantıda görebilirsiniz https://xxx[.]bağlantı/report.xll
Google, 2021’in en sıcak 100 hediyesini açıkladı
10.000 dolar kazandım. Onu da ister misin? Şartları okuyun ve kabul edin
https://drive.google[.]com/dosya/d/xxx/view?usp=paylaşım
Excel XLL dosyalarını kötüye kullanma
Bu spam kampanyaları, RedLine kötü amaçlı yazılımını kurbanların Windows cihazlarına indirip yükleyen kötü amaçlı Excel XLL dosyalarını itmek için tasarlanmıştır.
XLL dosyası, geliştiricilerin verileri okuyup yazarak, diğer kaynaklardan veri alarak veya çeşitli görevleri gerçekleştirmek için özel işlevler oluşturarak Excel’in işlevselliğini genişletmesine olanak tanıyan bir eklentidir.
XLL dosyaları, eklenti açıldığında Microsoft Excel tarafından yürütülen bir ‘xlAutoOpen’ işlevi içeren bir DLL dosyasıdır.
Kaynak: BleepingComputer
BleepingComputer ve güvenlik araştırmacısı tarafından yapılan testler TheAnalyst, saldırıyı tartıştığımız kişiyle XLL dosyasını doğru şekilde yüklemiyor, Microsoft Excel’in diğer sürümlerinde çalışabilirler.
Ancak, DLL’yi regsvr32.exe komutuyla veya ‘rundll32 name.xll, xlAutoOpen‘ komutu wget.exe programını %UserProfile% klasörüne ayıklar ve RedLine ikilisini uzak bir siteden indirmek için kullanır.
Kaynak: BleepingComputer
Bu kötü amaçlı ikili dosya şu şekilde kaydedilir: %UserProfile%JavaBridge32.exe [VirusTotal] ve sonra idam edildi.
Kurbanlar Windows’a her giriş yaptığında RedLine bilgi hırsızını otomatik olarak başlatmak için bir Kayıt Defteri otomatik çalıştırma girdisi de oluşturulur.
Kaynak: BleepingComputer
Kötü amaçlı yazılım yürütüldkten sonra, Chrome, Edge, Firefox, Brave ve Opera tarayıcılarında depolanan kimlik bilgileri ve kredi kartları da dahil olmak üzere çalınacak değerli verileri arar.
Bu kampanyanın kurbanı olduysanız, depolanan şifrelerinizin ele geçirildidiğini varsaymalı ve hemen değiştirmelisiniz. Ayrıca, tarayıcılarınızda kayıtlı kredi kartlarınız varsa, olay hakkında onları uyarmak için kredi kartı şirketinizle iletişime geçmelisiniz.
XLL dosyaları yürütülebilir dosyalar olduğundan, tehdit aktörleri bunları bir cihazda çeşitli kötü amaçlı davranışlar gerçekleştirmek için kullanabilir. Bu nedenle, güvenilir bir kaynaktan gelmedikçe asla açmamalısınız.
Bu dosyalar genellikle ek olarak gönderilmez, bunun yerine başka bir program veya Windows yöneticiniz aracılığıyla yüklenir.
Bu nedenle, bu tür dosyaları dağıtan bir e-posta veya başka bir mesaj alırsanız, iletiyi silmeniz ve spam olarak bildirmeniz yeterlidir.
IOU’lar
XLL dosyaları:
terms.xll, report.xll, terms_of_use.xll
f6c06615e35798274dfa9c4b28aaa6d94220804e766e9a70c4f0dab4779ee1dbRedline:
JavaBridge32.exe: 626db53138176b8a371878ebaa2dbbd724be9a74f9f82ef9ebb7b7bfc0c6b2e9