6.7 C
İstanbul
13/12/2024
Image default
HaberlerSiber Saldırılar

Yeni ve Yeniden ZLoader

Proofpoint araştırmacıları, Aralık 2019’da, “ZLoader” olarak bilinen bankacılık sektöründe aktif olan zararlının yeni bir sürümünün yaygın olarak kullandığı e-posta kampanyalarını gözlemledi. 1 Ocak 2020’den beri ABD, Kanada, Almanya, Polonya ve Avustralya’da alıcılara yöneltilen 100’den fazla kampanya tespit ettiklerini ifade ettiler. Ataklar, sahte e-postalar, COVID-19 aldatmaca önleme ipuçları, COVID-19 testi ve faturalar gibi çeşitli konuları içermektedir.

Ünlü Zeus bankacılık kötü amaçlı yazılımının bir çeşidi olan ZLoader, 2006’dan beri varlığını sürdürmektedir. Hedef finansal kurumların kullanıcılarından kimlik bilgilerini ve diğer özel bilgileri çalmak için web Injection yöntemleri kullanmaktadır. Yazılımlar, kurbanın web tarayıcılarında saklanan şifreleri ve çerezleri de çalabilmektedir. Elde edilen bilgilerle, kötü amaçlı yazılım, tehdit aktörlerinin kurduğu sisteme bağlanmasına ve indirdiği VNC istemcisini kullanarak bankacılık kullanıcısının yasal cihazından yasadışı finansal işlemler gerçekleştirmesine izin vermektedir.

ZLoader’in 2018’deki son etkinliğinden neredeyse iki yıl sonra, orijinal 2016-2018 ZLoader’a benzer işlevsellik ve ağ trafiği gösteren yeni bir bankacılık kötü amaçlı yazılımı kullanan kampanyalar tespit edildi. Ancak, analiz sırasında, orijinal ZLoader’ın kod gizleme, string şifreleme vb birkaç gelişmiş özelliğinin eksik olduğunu fark edildi. Bu nedenle, yeni yazılım 2018’in devamı gibi görünmemekte, fakat benzerlikleri farklı bir sürüm olduğu işaret etmektedir.

Zloader versiyonları aşağıdaki tabloda ifade edilmiştir:

Ay Versiyonlar
Aralık 2019 1.0.2.0, 1.0.4.0, 1.0.5.0, 1.0.6.0, 1.0.7.0, 1.0.8.0, 1.0.9.0 
Ocak 2020 1.0.10.0, 1.0.10.1, 1.011.1, 1.0.12.0, 1.0.13.0, 1.0.14.0 
FŞubat 2020 1.0.15.0, 1.0.16.0, 1.0.17.0, 1.0.18.0 
Mart 2020 1.1.18.0, 1.1.19.0, 1.1.20.0, 1.1.21.0, 1.1.22.0 
Nisan 2020 1.2.22.0, 1.2.23.0 
Mayıs 20201.2.24.0
Tablo 1: Versiyonlar

Yazılama ait mail atak önerileri de aşağıdaki gibidir:

Resim 1: Aralık 2019
Resim 2: Mart 2020
Resim 3: Nisan 2020

Yazılımın config dosyasında tespit edilmiş özellikleri aşağıdaki gibidir:

Artırılabilir C&C URL’leri
Yürütülecek komutlar
user_execute – indir ve çalıştır
bot_uninstall – kendini kaldır
user_cookies_get – web tarayıcılarından çerez çal
user_cookies_remove – web tarayıcılarından çerezleri kaldır
user_passwords_get – şifreleri çal
user_files_get – dosyaları çal
user_url_block – URL’ye erişimi engelle
user_url_unblock – URL’ye erişimi engellemeyi kaldır

Zararlılara ilişkin tespit edilen IOC bilgileri aşağıda yer almaktadır:

IOCIOC TipiAçıklama
hxxp://march262020\.tech/post.php URLZloader (1.1.22.0) C&C
hxxp://march262020.best/post.phpURLZloader (1.1.22.0) C&C
hxxp://march262020.club/post.phpURLZloader (1.1.22.0) C&C
hxxp://march262020.com/post.phpURLZloader (1.1.22.0) C&C
hxxp://march262020.live/post.phpURLZloader (1.1.22.0) C&C
hxxp://march262020.network/post.phpURLZloader (1.1.22.0) C&C
hxxp://march262020.online/post.phpURLZloader (1.1.22.0) C&C
hxxp://march262020.site/post.phpURLZloader (1.1.22.0) C&C
hxxp://march262020.store/post.phpURLZloader (1.1.22.0) C&C
hxxp://march262020.tech/post.phpURLZloader (1.1.22.0) C&C
hxxps://105711.com/docs.phpURLZloader (1.1.22.0) C&C
hxxps://209711.com/process.phpURLZloader (1.1.22.0) C&C
hxxps://106311.com/comegetsome.phpURLZloader (1.1.22.0) C&C
hxxps://124331.com/success.phpURLZloader (1.1.22.0) C&C
hxxps://brihutyk.xyz/abbyupdater.phpURLZloader (1.1.22.0) C&C
hxxps://asdmark.org/ph4xUMChrXId6.phpURLExample Landing Page 
hxxps://vfgthujbxd.xyz/milagrecf.phpURLZloader (1.1.22.0) C&C
hxxps://todiks.xyz/milagrecf.phpURLZloader (1.1.22.0) C&C
hxxps://xyajbocpggsr.site/wp-config.phpURLZloader (1.1.22.0) C&C
hxxps://ooygvpxrb.pw/wp-config.phpURLZloader (1.1.22.0) C&C
bfe470b390f20e3e189179fc1372d6e66d04d7676fa07d2a356b71362cd03e53SHA256Example Excel Sheet Delivering Zloader
b4e0478cf85035852a664984f8639e98bee3b54d6530ef22d46874b14ad0e748SHA256Zloader (1.1.22.0)
fe10daf5e3de07d400ca37b6b151eb252b71d013312e2958d1281da6626813d9SHA256Example Document Delivering Zloader
ea190ef11b88e830fa8835ff9d22dcab77a3356d3b1cb7b9f9b56e8cd7deb8c0SHA256Zloader (1.1.22.0)
4725e0e2e358e06da19de9802b4c345f1a5ab572dd688c78adf317ce8be85be6SHA256PDF Attachment from Zloader campaign
f1bdd2bcbaf40bb99224fa293edc1581fd124da63c035657918877901d79bed8SHA256Zloader (1.1.22.0)
6348bded936831629494c1d820fe8e3dbe3fb4d9f96940bbb4ca0c1872bef0adSHA256Zloader (1.1.22.0)
2b5e50bc3077610128051bc3e657c3f0e331fb8fed2559c6596911890ea866baSHA256Zloader (1.1.22.0)

Kaynak:

https://www.proofpoint.com/us/blog/threat-insight/zloader-loads-again-new-zloader-variant-returns

Related posts

Watur Nue isimli tehdit aktörü C-Suite’in Office 365 Hesaplarına Oltalama yapılması hedefliyor!

Mustafa Okay Maktav

LOKIBOT ZARARLISI VE TEKNİKLERİ

Mustafa Okay Maktav

WASTEDLOCKER RANSOMWARE

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası