Sistemleri bilgi çalan kötü amaçlı yazılımlarla enfekte etmek için 'Delta' durumsal farkındalık programının kullanıcılarına kimlik avı e-postaları ve anlık mesajlar gönderen uzlaşmış bir Ukrayna Savunma Bakanlığı e-posta hesabı bulundu.
Kampanya, Ukrayna askeri personelini kötü amaçlı yazılım saldırısı konusunda uyaran CERT-UA (Ukrayna Bilgisayar Acil Müdahale Ekibi) tarafından bir raporda vurgulandı.
Delta, askerinin düşman güçlerinin hareketlerini izlemesine yardımcı olmak için müttefiklerinin yardımıyla Ukrayna tarafından oluşturulan bir istihbarat koleksiyonu ve yönetim sistemidir.
Sistem, bir dizüstü bilgisayardan bir akıllı telefona kadar herhangi bir elektronik cihazda çalışabilen dijital bir haritada birden çok kaynaktan üst düzey entegrasyon ile kapsamlı gerçek zamanlı bilgiler sağlar.
Dijital sertifikalar, yazılım kodunu imzalamak ve sunucuları doğrulamak için kullanılır, işletim sisteminde çalışan güvenlik ürünlerini uygulamanın kurcalanmadığını ve sunucu operatörünün iddia ettikleri kişi olduğunu söyler.
Bu kampanyanın bir parçası olarak, tehdit aktörleri, kullanıcıların sistemi güvenli bir şekilde kullanmaya devam etmek için 'Delta' sertifikalarını güncellemeleri gereken sahte uyarılarla e -posta veya anlık mesajlar kullandı.
Kötü niyetli e -posta, "certificates_rootca.zip" adlı bir zip arşivi indirmek için bağlantılar içeren sertifika yükleme talimatları içeren bir PDF belgesi içerir.
Arşiv, başlatıldıktan sonra kurbanın sisteminde birkaç DLL dosyası oluşturan ve sertifika kurulum sürecini simüle eden "AIS.EXE" başlatan "certificates_rootca.exe" adlı dijital olarak imzalanmış bir yürütülebilir dosyayı içerir.
Bu adım, kurbanı sürecin meşru olduğuna ikna eder ve ihlal edildiklerini fark etme şansını azaltır.
Hem EXE dosyaları hem de DLL'ler, bağımsız sanallaştırılmış makinelere dosyaları sarmak, içeriklerini şifrelemek ve AV analizini veya algılamayı imkansız hale getirmek için kullanılan meşru bir yazılım olan VMProtect tarafından korunmaktadır.
Düşen DLL'ler, "FileInfo.dll" ve "Procsys.dll", CERT-UA tarafından 'fategrab' ve 'stealdal' olarak tanımlanan kötü amaçlı yazılımdır.
Fategrab, aşağıdaki dosya biçimlerinin belgelerini ve e -postalarını hedefleyen bir FTP dosya çalmadır: '.txt', '.rtf', '.xls', '.xlsx', '.ods', '.cmd', '.pdf' , '.vbs', '.ps1', '.one', '.kdb', '.kdbx', '.doc', '.docx', '.odt', '.eml', '.msg'. , '.
Stealdeal, diğer şeylerin yanı sıra, web tarayıcısında depolanan veri ve şifreleri çalabilecek bir bilgi stealer kötü amaçlı yazılımdır.
CERT-UA, yukarıdaki işlemi bilinen herhangi bir tehdit aktörüne bağlayamadı.
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Kötü niyetli 'Sentinelone' Pypi paketi geliştiricilerden verileri çalıyor
Bilgisayar korsanları Japon politikacıları yeni Mirrorstealer kötü amaçlı yazılımlarla hedefleyin
Binlerce 'müşteriye' sahip yeni Ducklogs Kötü Yazılım Hizmeti Talepleri
Tiktok 'Görünmez Beden' Mücadelesi, kötü amaçlı yazılımları zorlamak için kullanıldı
Kaynak: Bleeping Computer