Hesap kimlik bilgilerini ve diğer verileri çalabilen 'CMoon' adlı yeni bir kendi kendini yayma solucanı, Temmuz 2024'ten bu yana Rusya'da tehlikeye atılmış bir gaz tedarik şirketi web sitesi aracılığıyla dağıtıldı.
Kampanyayı keşfeden Kaspersky araştırmacılarına göre, CMoon ek yükler yükleme, ekran görüntüleri yakalama ve dağıtılmış hizmet reddi (DDOS) saldırılarını başlatma gibi geniş bir işlev yelpazesi yapabilir.
Dağıtım kanalından, aktörlerin kullandığı tehdit kanalından yola çıkarak, hedefleme kapsamları, sofistike bir işlemi gösteren rastgele internet kullanıcıları yerine yüksek değerli hedeflere odaklanmıştır.
Kaspersky, kullanıcıların bir şirketin web sitesinin çeşitli sayfalarında bir Rus şehrine gazlaştırma ve gaz tedarik hizmetleri sağlayan düzenleyici belgelere (DOCX, .xlsx, .rtf ve .pdf) bağlantıları tıkladığında enfeksiyon zincirinin başladığını söylüyor.
Tehdit oyuncusu, belge bağlantılarını, sitede de barındırılan ve orijinal bağlantının adını taşıyan orijinal belgeyi ve CMoon yükünü içeren kendi kendini ekleyen arşivler olarak kurbanlara teslim edilen kötü amaçlı yürütülebilir dosyalara bağlantılarla değiştirdi.
Kaspersky, "Bu kötü amaçlı yazılımların başka dağıtım vektörlerini görmedik, bu yüzden saldırının sadece belirli sitenin ziyaretçilerine yönelik olduğuna inanıyoruz."
Gaz firması bu uzlaşma hakkında bilgilendirildikten sonra, kötü amaçlı dosyalar ve bağlantılar 25 Temmuz 2024'te web sitesinden kaldırıldı.
Bununla birlikte, CMoon'un kendi kendini tanıtma mekanizmaları nedeniyle, dağılımı özerk olarak devam edebilir.
CMoon, kendisini tehlikeye atılan cihazda tespit ettiği antivirüs yazılımından adlandırılan yeni oluşturulan bir klasöre veya hiçbir AV algılanmazsa bir sistem klasörüne benzeyen bir .NET solucanıdır.
Solucan, Windows başlangıç dizininde, sistem başlangıçta çalıştığından emin olmak için yeniden başlatmalar arasında kalıcılığı güvence altına alarak bir kısayol oluşturur.
Manuel kullanıcı kontrolleri sırasında şüpheleri arttırmak için dosyalarının oluşturulması ve değişiklik tarihlerini 22 Mayıs 2013'e değiştirir.
Solucan yeni bağlı USB sürücüleri için monitörler ve enfekte makineye bağlandığında, 'LNK'ler' ve 'exes' hariç tüm dosyaların yürütülebilir dosyasına kısayollarla değiştirilmesi.
CMoon ayrıca, USB sürücülerinde depolanan ilginç dosyaları arar ve bunlar saldırganın sunucusuna eklenmeden önce bunları gizli dizinlerde ('.inTelligence' ve '.usb') geçici olarak saklar.
CMoon, standart info-stealer işlevselliği, kripto para birimi cüzdanlarını hedefleyen, web tarayıcılarında depolanan veriler, messenger uygulamaları, FTP ve SSH istemcileri ve USB veya kullanıcı klasörlerindeki 'Secret,' 'Service,' veya ' şifre.'
İlginç ve biraz sıra dışı bir özellik, .pfx, .p12, .kdb, .kdbx, .lastpass, .psafe3, .pem, .key, .private, .asc, .gpg gibi hesap kimlik bilgileri içerebilecek dosyaların hedeflenmesidir. , .ovpn ve .log dosyaları.
Kötü amaçlı yazılım ayrıca ek yükleri indirip yürütebilir, ihlal edilen cihazın ekran görüntülerini yakalayabilir ve belirtilen hedeflere DDOS saldırılarını başlatabilir.
Çalıntı dosyalar ve sistem bilgileri paketlenir ve harici bir sunucuya gönderilir, burada şifre çözülür (RC4) ve bir MD5 karma kullanarak bütünlükleri için doğrulanır.
Kaspersky, mevcut görünürlüğünün cmoon dağıtımı dışında daha fazla site olasılığını açık bırakır, bu nedenle uyanıklık önerilir.
Bu kampanyanın ne kadar hedeflendiği önemli değil, solucanın özerk bir şekilde yayılması, istenmeyen sistemlere ulaşabileceği ve fırsatçı saldırılar için koşullar yaratabileceği anlamına geliyor.
Facebook'ta sahte AI Editör Reklamları Şifre Çalma Kötü Yazılım
Stackexchange, kötü niyetli PYPI paketlerini cevap olarak yaymak için istismar edildi
Kötü niyetli PYPI paketleri güvenlik duvarlarını atlamak için Cloudflare Tüneli Oluştur
Google Reklamlar Sahte Google Authenticator Site Push Malweing Makence
Google Chrome, Infostealer kötü amaçlı yazılımları engellemek için uygulamaya bağlı şifreleme ekler
Kaynak: Bleeping Computer