Bilgi çalan kötü amaçlı yazılım TinyNuke, kurumsal adreslere gönderilen e-postalardaki fatura temalı yemlerle Fransız kullanıcıları ve üretim, teknoloji, inşaat ve iş hizmetlerinde çalışan bireyleri hedefleyen yeni bir kampanyada yeniden ortaya çıktı.
Bu kampanyanın amacı, kimlik bilgilerini ve diğer özel bilgileri çalmak ve güvenliği ihlal edilmiş bir sisteme ek yükler yüklemektir.
TinyNuke’un yeniden ortaya çıkışı
TinyNuke kötü amaçlı yazılım etkinliği ilk olarak 2017’de ortaya çıktı, 2018’de doruğa ulaştı, ardından 2019’da önemli ölçüde düştü ve 2020’de neredeyse yok oldu.
2021’de belirli kötü amaçlı yazılım türünü dağıtır yeni saldırıları gözlemlemek şaşırtıcıdır, ancak tamamen beklenmedik değildir.
Proofpoint’te bu kampanyaları takip eden araştırmacılara göre, bu yeniden ortaya çıkış, ayrı C2 altyapısı, yükler ve yem temaları ile iki farklı faaliyet kümesiyle kendini gösteriyor.
Bu, kötü amaçlı yazılımın biri ilk TinyNuke aktörleriyle ilişkili ve diğeri genellikle emtia araçlarını kullanan aktörlerle bağlantılı iki farklı aktör tarafından kullanıldığını da gösterebilir.
Son olarak, 2018’de görüldüğü gibi PyLocky dağıtımıyla veya bu kez başka bir fidye yazılımı enfeksiyonuyla çakışma yoktur.
Meşru sitelerde barındırılan yükler
Aktör, yük URL’sini barındırmak için meşru Fransızca web sitelerini tehlikeye atarken, yürütülebilir yazılımlar zararsız yazılım olarak maskelenir.
C2 iletişimleri için, en son kampanyalar 2018’den beri kullanılan yöntemle aynı olan Tor’u kullanır.
Bu iletişimlerde kullanılan “nikoumouk” dizelerinden biri, 2018 analizinde keşfedilen argo bir terimle aynıdır ve bu kampanyayı orijinal tehdit aktörlerine daha da bağlar.
“Proofpoint araştırmacıları, bilinmeyen bir amaç için C2 sunucusuna gönderilen “nikoumouk” dizesini gözlemlediler. Bilgi paylaşım ortaklarına ve açık kaynaklı bilgilere göre, aktörler bu dizeyi daha önce 2018’den bu yana önceki kampanyalarda C2 iletişimlerinde kullandılar,” diye açıklıyor. Proofpoint’in raporu.
“Dize, çoğunlukla Avrupa’da Fransızca konuşulan banliyölerde kullanılan popüler Arapça’da bir hakarettir.”
Mevcut kampanyalarda, e-postalar ZIP dosyalarını indiren URL’leri içerir. Bu ZIP dosyaları indirmek ve TinyNuke kötü amaçlı yazılım yürütmek için PowerShell komutları yürütecek bir JavaScript dosyası içerir.
Yetenekler açısından TinyNuke yükleyici, Firefox, Internet Explorer ve Chrome için form kapma ve web ekleme özellikleriyle kimlik bilgilerini çalabilir ve ayrıca ek yükler yükleyebilir.
Kalıcılık, aşağıda gösterildiği gibi yeni bir kayıt defteri anahtarı eklenerek güvence altına alınmıştır:
Key: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunx00E02BC647BACE72A1xe4x8dx82
Data: C:Users[User]AppDataRoamingE02BC647BACE72A1firefox.exe
Μise en garde
Devam eden kampanyalar belirli yemler kullansa da, aktörler alıcılara yeni yemler sunmak için mesajlarını güncelleyebilir.
Ayrıca, yeni aktörler TinyNike kullanıyorsa, muhtemelen orijinal yazarların karanlık web’de sattığı veya kodunun yıllar önce GitHub’da piyasaya saıldığından beri bağımsız olarak dolaştığı anlamına gelir.
Her iki durumda da, dağıtımı daha da artabilir ve hedeflere karşı dağıtılan e-posta yemlerinin aralığı çok genişleyebilir.
Tetikte kalmak ve kötü amaçlı sıkıştırılmış yürütülebilir dosyayı barındıran sitelere yol açan gömülü düğmelere tıklamaktan kaçınmak çok önemlidir.
Bu siteler başka türlü meşru olduğundan, Internet güvenlik çözümünüz herhangi bir bayrak göndermeyebilir, bu nedenle çok dikkatli olunması önerilir.