Bilgisayar korsanları, bu hafta kripto para hırsızları, uzaktan erişim truva atları ve madencileri yüklemek için dnSpy .NET uygulamasının kötü amaçlı bir sürümünü dağıtan karmaşık bir kötü amaçlı yazılım kampanyasında siber güvenlik araştırmacılarını ve geliştiricilerini hedef aldı.
dnSpy, .NET programlarının hatalarını ayıklamak, değiştirmek ve derlemek için kullanılan popüler bir hata ayıklayıcı ve .NET derleme düzenleyicisidir. Siber güvenlik araştırmacıları, .NET kötü amaçlı yazılımlarını ve yazılımlarını analiz ederken yaygın olarak bu programı kullanır.
Yazılım artık ilk geliştiriciler tarafından aktif olarak geliştirilmese de, orijinal kaynak kodu ve yeni aktif olarak geliştirilmiş versiyon GitHub’da herkes tarafından klonlanıp değiştirilebilir.
Kötü amaçlı dnSpy bir kötü amaçlı yazılım kokteyli sunar
Bu hafta bir tehdit aktörü, kripto para birimini çalmak için pano korsanları, Quasar uzaktan erişim truva atı, bir madenci ve çeşitli bilinmeyen yükler de dahil olmak üzere bir kötü amaçlı yazılım kokteyli yükleyen dnSpy’ın derlenmiş bir sürümüyle bir GitHub deposu oluşturdu.
Bu yeni kampanya güvenlik araştırmacıları tarafından keşfedildi 0 gün meraklısı ve Kötü Amaçlı Yazılım AvcısıTakımı başlangıçta https://github adresinde barındırılan kötü niyetli dnSpy projesini kim gördü[.]com/carbonblackz/dnSpy/ ve ardından https://github’a geçiş yapın[.]com/isharpdev/dnSpy daha inandırıcı görünmek için.

Kaynak: MalwareHunterTeam
Tehdit aktörleri ayrıca dnSpy’da bir web sitesi oluşturdu[.]güzel tasarlanmış ve profesyonel görünümlü net. Bu site artık çalışmıyor, ancak aşağıda arşivlenmiş sürümün ekran görüntüsünü görebilirsiniz.
![Kötü amaçlı dnspy[.net] alan](https://floodlar.com/wp-content/uploads/2022/01/1641672299_984_Trojanized-dnSpy-uygulamasi-arastirmacilara-ve-gelistiricilere-kotu-amacli-yazilim-kokteyli.jpg)
Kaynak: BleepingComputer
Web sitesini tanıtmak için, tehdit aktörleri dnSpy’ı almak için başarılı arama motoru optimizasyonu gerçekleştirdi[.]net Google’ın ilk sayfasında listelenmiştir. Bu alan aynı zamanda belirgin bir şekilde listelenmiş Bing, Yahoo, AOL, Yandex ve Ask.com’da.
Yedek plan olarak, aşağıda gösterildiği gibi, arama motoru reklamlarını da arama sonuçlarında ilk öğe olarak görünmeleri için çıkardılar.

Kaynak: BleepingComputer
Kötü amaçlı dnSpy uygulaması, yürütüldüğünde normal programa benziyor. .NET uygulamalarını açmanıza, hata ayıklamanıza ve programın tüm normal işlevlerini gerçekleştirmenize olanak tanır.

Kaynak: BleepingComputer
Ancak, kötü niyetli dnSpy uygulaması [VirusTotal] başlatıldığında, yükseltilmiş izinlerle çalışan zamanlanmış görevler oluşturan bir dizi komutu yürütür.
İçinde komutların listesi MalwareHunterTeam tarafından BleepingComputer ile paylaşılan kötü amaçlı yazılım aşağıdaki eylemleri gerçekleştirir:
- Microsoft Defender’ı devre dışı bırakır
- curl.exe dosyasını %windir%system32curl.exe konumuna indirmek için bitsadmin.exe’yi kullanır.
- C:Trash klasörüne çeşitli yükleri indirmek ve bunları başlatmak için curl.exe ve bitsadmin.exe’yi kullanır.
- Kullanıcı Hesabı Denetimini devre dışı bırakır.

Kaynak: MalwareHunterTeam
Yükler http://4api adresinden indirilir.[.]net/ ve aşağıda listelenen çeşitli kötü amaçlı yazılımları içerir:
- %windir%system32curl.exe – Kıvrılma programı.
- C:Trashc.exe – Bilinmiyor [VirusTotal]
- C:Trashck.exe – Bilinmiyor
- C:Trashcbot.exe – Pano Hijacker [VirusTotal]
- C:Trashcbo.exe – Bilinmiyor [VirusTotal]
- C:Trashqs.exe – Quasar RAT [VirusTotal]
- C:Trashm.exe – Madenci [VirusTotal]
- C:Trashd.exe – Yasal Defans Kontrolü Microsoft Defender’ı devre dışı bırakmak için uygulama. [VirusTotal]
- C: Çöp Kutusu nnj.exe – Bilinmiyor
Pano korsanı (cbot.exe), önceki saldırılarda kullanılan kripto para adreslerini bir miktar başarıyla kullanır. bitcoin adresi var çalınan 68 bitcoin işlemi toplamda yaklaşık 4.200 dolar.
Bu kampanyanın bir parçası olarak kullanılan kripto para adresleri şunlardır:
Şu anda, hem dnSpy[.]net ve bu kampanyaya güç sağlamak için kullanılan GitHub deposu kapatıldı.
Bununla birlikte, güvenlik araştırmacıları ve geliştiricilerinin, cihazlarına kötü amaçlı yazılım yükleyen popüler projelerin kötü niyetli klonlarını sürekli olarak aramaları gerekir.
Siber güvenlik araştırmacılarına ve geliştiricilerine yönelik saldırılar yeni değil ve açıklanmayan güvenlik açıklarını, kaynak kodunu çalmak veya hassas ağlara erişim sağlamak için giderek daha yaygın hale geliyor.
Geçen yıl, Google ve güvenlik araştırmacıları, devlet destekli Kuzey Koreli bilgisayar korsanlarının çeşitli yemler kullanarak güvenlik açığı araştırmacılarını hedef aldığını keşfetti. Bu yemler dahil sahte Visual Studio projeleri, Internet Explorer sıfır gün güvenlik açıkları, kötü niyetli siber güvenlik şirketleri, ve kötü niyetli IDA Pro İndirilenler.
IOC’ler:
dnSpy-net-win32.zip - 6112e0aa2a53b6091b3d7834b60da6cd2b3c7bf19904e05765518460ac513bfa
dnSpy-net-win64.zip - 005526de4599f96a4a1eba9de9d6ad930de13d5ea1a23fada26e1575f4e3cf85
curl.exe - 0ba1c44d0ee5b34b45b449074cda51624150dc16b3b3c38251df6c052adba205
c.exe - cabc62b3077c2df3b69788e395627921c309e112b555136e99949c5a2bbab4f2
ck.exe - NA
cbot.exe - 746a7a64ec824c63f980ed2194eb7d4e6feffc2dd6b0055ac403fac57c26f783
cbo.exe - e998df840b687ec58165355c1d60938b367edc2967df2a9d44b74ad38f75f439/
qs.exe - 70ad9112a3f0af66db30ebc1ab3278296d7dc36e8f6070317765e54210d06074
m.exe - 8b7874d328da564aca73e16ae4fea2f2c0a811ec288bd0aba3b55241242be40d
d.exe - 6606d759667fbdfaa46241db7ffb4839d2c47b88a20120446f41e916cad77d0b
nnj.exe - NA