Tehdit aktörleri, "KeyZetsu" pano-hiJacking kötü amaçlı yazılımlarının yeni bir varyantını zorlamak ve kripto para ödemelerini çalmak için GitHub otomasyon özelliklerini ve kötü niyetli görsel stüdyo projelerini kötüye kullanıyor.
Saldırganlar, arama sonuçlarında iyi sıralama şansı daha yüksek olan ve platformdaki popülaritelerini ve görünürlüklerini yapay olarak artırmak için çeşitli yöntemler kullanan isimlerle GitHub depoları oluştururlar.
Bu depolardan dosya indiren kullanıcılar, Visual Studio proje dosyalarına gizlenmiş ve proje yapısı sırasında gizlice yürütülen kötü amaçlı yazılımlarla enfekte olur.
CheckMarx'ın yeni bir raporuna göre, kötü amaçlı yazılım kampanyası, popüler konu ve projelerden sonra adlandırılan birden fazla GitHub depo kullanıyor.
Saldırganlar, bir günlük dosyasını küçük bir rastgele değişiklikle değiştirerek bu depoları çok yüksek bir frekansta otomatik olarak güncellemek için GitHub eylemlerini kullandı. Bu, depoların "en son güncellenen" ile sıralanan arama sonuçlarında yüksek olması için yapılır.
Potansiyel olarak otomatik olarak bir başka süreç, proje çevresinde yanlış bir popülerlik ve güvenilirlik duygusu yaratmak için bu depolara sahte yıldız ekleyen sahte Github hesaplarının oluşturulmasıdır. Bir hediye, bu hesapların yakın zamanda oluşturulmasıdır.
Kötü amaçlı yazılım yükü genellikle kötü amaçlı Visual Studio proje dosyalarındaki oluşturma etkinliklerinde gizlenir, ancak CheckMarx bazı varyasyonlar görmüştür.
Bir Visual Studio Build etkinliği, oluşturma sürecinde farklı aşamalarda yürütülecek komutlardır. Örneğin, aşağıdaki kötü amaçlı proje, diske kötü amaçlı yazılım yazmak ve proje derlenmeden önce yürütmek için öncedenBuildEvent'i kullanır.
Proje yapısı sırasında yürütülen komut dosyası, aşağıdaki eylemleri gerçekleştirmek için art arda yürütülen bir toplu komut dosyası ve baz64 kodlu bir PowerShell komut dosyasından oluşur:
CheckMarx, 3 Nisan 2024'ten başlayarak kampanyanın, 'beckbackapi.exe' adlı 750MB'lık bir yürütülebilir ürün içeren şifreli /7z yükü kullanmaya geçtiğini bildirdi.
Dosyanın büyük boyutu, sıfır eklenerek elde edildi ve Virustotal gibi güvenlik araçları tarafından taranamayacak kadar büyük olduğu noktaya kadar şişirildi. Bu, Virustotal'ın 650MB'a kadar sürebilen analiz için alternatif yükleme uç noktasını içerir.
Her durumda, son yük, Windows panosunun içeriğini saldırganın kendi verileriyle değiştiren KeyZetsu Panosu Clipper kötü amaçlı yazılımının bir çeşididir.
Bu kötü amaçlı yazılım genellikle kurban tarafından kopyalanan kripto para birimi cüzdan adreslerini saldırganın kendi adresleriyle değiştirmek için kullanılır. Bu, ödemeleri saldırganların kontrolü altındaki cüzdanlara yönlendirecek şekilde ayarlanan herhangi bir ödeme sağlar.
Bir pano kesme makinesi veya korsan, belirli veriler için Windows panosunun izini izleyen ve algılandığında saldırgan tarafından sağlanan farklı verilerle takas eden kötü amaçlı yazılımdır.
Kripto para birimi adresleri genellikle uzun ve hatırlanması zor olduğundan, çoğu kişi başka bir sayfadan, siteden veya programdan bir adresi kopyalar. Bu tür bir kötü amaçlı yazılım, panodaki kopyalanan adresi algılar ve kurbanın takasını fark etmeyeceği umuduyla saldırganın kendi adresi ile değiştirir.
Ardından, kullanıcı bir kripto para birimi işlemi göndermek için adresi cüzdanlarına tutturduğunda, fonlar amaçlanan alıcıdan ziyade saldırganın kontrolü altındaki adrese gönderilir.
Windows sistemlerinde, yük, saat 4'te onaylama istemleri olmadan kötü amaçlı yazılımları yürüten "beckback_api_vs_services_client" adlı planlanmış bir görev oluşturur.
Tedarik zinciri saldırılarına ve GitHub'da barındırılan kötü amaçlı kodlara karşı korumak için, aynı zamanda oluşturulan hesaplar tarafından alınan birçok taahhüt veya yıldız gibi şüpheli kalıplar için depo etkinliğini gözden geçirin.
Chrome Enterprise premium güvenlik alır ancak bunun için ödeme yapmanız gerekir
Microsoft, kötü amaçlı yazılım saldırılarında sömürülen iki Windows sıfır gününü düzeltir
Rubycarp hacker'ları 10 yaşındaki kriptominaya bağlı botnet
Keskinlik, bilgisayar korsanlarının GitHub depolarından duyarlı olmayan govt verilerini çaldığını doğrular
Yeni Latrodectus kötü amaçlı yazılım, ağ ihlallerinde Icicid'in yerini alır
Kaynak: Bleeping Computer