Devam eden bir Google Reklamlar Maltizing kampanyası, FormBook Veri Stealer'ı yüklerken algılamadan kaçınmak için KOIVM sanallaştırma teknolojisini kullanan kötü amaçlı yazılım yükleyicilerini yayıyor.
Koivm, bir programın opcodlarını gizleyen Confuserex .NET koruyucusu için bir eklentidir, böylece sanal makine sadece onları anlar. Daha sonra, başlatıldığında, sanal makine, uygulamanın yürütülebilmesi için opcodes'i orijinal formlarına geri çevirir.
Sentinellabs'ın yeni bir raporu, "Koivm gibi sanallaştırma çerçeveleri, net ortak ara dil (CIL) talimatları gibi orijinal kodu değiştirerek yürütülebilir ürünleri, yalnızca sanallaştırma çerçevesinin anladığı sanallaştırılmış kodla", Sentinellabs'ın yeni bir raporunu açıklıyor.
"Bir sanal makine motoru, sanallaştırılmış kodu çalışma zamanında orijinal koda çevirerek yürütür."
"Kötü niyetli kullanıma sunulduğunda, sanallaştırma kötü amaçlı yazılım analizini zorlaştırır ve aynı zamanda statik analiz mekanizmalarından kaçınma girişimini temsil eder."
Sentinel laboratuvarları tarafından tespit edilen bir Google reklam kampanyasında, tehdit aktörleri, formbook bilgi çalma kötü amaçlı yazılımlarını, antivirüs uyarılarını tetiklemeden son yükü dağıtmaya yardımcı olan 'malvirt' olarak adlandırılan sanallaştırılmış .NET yükleyicileri olarak itiyor.
Sentinel Labs, KOIVM sanallaştırma araçlarını ve çatlakları hacklemek için popüler olsa da, kötü amaçlı yazılım dağılımında nadiren kullanıldığını söylüyor.
Bunun yerine, güvenlik firması, kullanımındaki yeni eğilimin Microsoft'un ofisteki makroları devre dışı bırakmasının çoklu yan etkilerinden biri olabileceğine inanıyor.
Geçtiğimiz ay, araştırmacılar Redline Stealer, Gozi/Ursnif, Vidar, Rhadamanthys Stealer, Icedid, Raccoon Stealer ve daha fazlası dahil olmak üzere çeşitli kötü amaçlı yazılımları dağıtmak için Google arama reklamlarının kötüye kullanılması gördüler.
Sentinellabs tarafından görülen devam eden kampanyada, tehdit aktörleri Malvirt yükleyicilerini Blender 3D yazılımı için gibi davranan reklamlar halinde itiyor.
Bu sahte siteler tarafından sunulan indirmeler, Microsoft, Acer, Digicert, Sectigo ve AVG Technologies USA taklit eden geçersiz dijital imzalar kullanıyor.
Bu geçersiz imzalar pencereleri imzalanmış olarak göstermeye kandırmazken, Malvirt Yükleyicileri tespiti önlemek için hala özellikleri paketler.
Araştırmacı A. Milenkoski, "Örneğin, bazı örnekler, kötü niyetli PowerShell komutlarını tespit eden kötü amaçlı yazılım önleyici tarama arayüzünü (AMSI) atlamak için AMSI.DLL'de uygulanan amsiscanbuffer işlevini yamalıyor."
"Ayrıca, statik tespit mekanizmalarından kaçınma girişiminde, bazı dizeler (AMSI.DLL ve AMSiscanBuffer gibi) baz-64 kodlanmış ve AES şifrelidir."
Yükleyiciler ayrıca, belirli kayıt defteri anahtarlarını sorgulayarak sanallaştırılmış bir ortamda çalışıp çalışmadıklarını tespit edebilir ve eğer yaparlarsa yürütme analizden kaçınmayı bırakır.
Malvirt ayrıca sistem başlatmaya yüklenen imzalı bir Microsoft Process Gezgini sürücüsünü "TaskKill" olarak kullanır ve bu da algılamayı kaçırmak için çalışma işlemlerini değiştirmesini sağlar.
Ayrıca, sanallaştırılmış kodun ayrışmasından da kaçınmak için, yükleyiciler ayrıca KOIVM'nin ek şaşkınlık katmanlarına sahip değiştirilmiş bir sürümünü kullanır ve bu da deforfering'ini daha da zorlaştırır.
Sentinellabs, bu özel KOIVM uygulamasının, doğrudan atamalar kullanmak yerine rutinini aritmetik işlemler yoluyla gizleyerek 'Oldrod' gibi standart becerikleme çerçevelerini karıştırdığını söylüyor.
Milenkoski, bu malvirt yükleyicilerindeki şaşkınlığı yenmenin ve Koivm'in 119 sabit değişkeninin orijinal sırasını geri yüklemenin mümkün olduğunu söylüyor.
Bununla birlikte, ek şaşkınlık, mevcut otomatik araçların yardımcı olamadığından ağır manuel emek gerektirerek zorlaştırır.
Kötü amaçlı yazılım yükleyicisinde kullanılan tüm algılama kaçınma sistemlerine ek olarak, Formbook'un kendisi tarafından gerçek C2 (komut ve kontrol) trafiğini ve IP adreslerini gizlemeye yardımcı olan yeni bir numara kullanılır.
Bilgi açan kötü amaçlı yazılım, gerçek trafiğini, içeriği şifrelenmemiş ve kodlanmış olan çeşitli "duman perdesi" HTTP istekleriyle karıştırır, böylece öne çıkmazlar.
Kötü amaçlı yazılım, bu IP'lerle rastgele iletişim kurar ve bunları çeşitli şirketler tarafından barındırılan alanlarla sabit kodlu bir listeden seçer.
Sentinellabs, analiz ettiği numunelerde, Formbook'un sadece biri gerçek C2 sunucusu olan ve geri kalanının ağ trafik izleme araçlarını karıştırmak için sadece tuzak olarak hizmet veren 17 alan ile iletişim kurduğunu söylüyor.
Bu, oldukça eski bir kötü amaçlı yazılım suşunda yeni bir sistemdir, operatörlerinin güvenlik araçlarından ve analistlerden gizli kalmasını daha iyi hale getirecek yeni özelliklerle güçlendirmekle ilgilendiklerini gösterir.
Tehdit aktörlerinin Formbook'un Google Arama reklamlarına Malspam dağılımını tamamen değiştirip değiştirmediği görülüyor, ancak kullanıcıların arama sonuçlarına tıkladıkları bağlantılara çok dikkat etmesi gereken başka bir örnek.
Bilgisayar korsanları, yasal yazılımlarda kötü amaçlı yazılım yaymak için Google reklamlarını kötüye kullanın
Yeni Info-Stealer kötü amaçlı yazılım, sahte çatlak siteleri aracılığıyla yazılım korsanlarına bulaşır
FBI, kötü amaçlı yazılımları iten arama motoru reklamlarını uyarıyor, kimlik avı
Ahududu Robin Solucan Damlalar Araştırmacıları karıştırmak için sahte kötü amaçlı yazılım
Uzaktan Erişim İçin Yeni Python Kötü Yazılım Backroors VMware ESXI Sunucuları
Kaynak: Bleeping Computer