Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Xidmətinin Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi tərəfindən kompüter istifadəçilərini təhdid edən yeni zərərvericinin yayılması kampaniyası aşkar edilib.
Bu barədə qurum məlumat yayıb.
Məlumata görə, kompüter istifadəçiləri arasında geniş istifadə edilən və kompüteri uzaqdan idarəetməyə imkan verən AnyDesk proqram təminatının adından istifadə etməklə istifadəçiləri saxta sayta yönəldən reklam kampaniyası aşkar edilib. Google axtarış sistemində adı çəkilən proqram təminatını axtararkən reklam olaraq birinci sırada ainydesk[.]me saytına keçidi yerləşdirilib. (Məqalənin yazılma anına həmin reklam Google Axtarış sistemindən yığışdırılması təmin edilib).
aniydesk[.]me saytı istifadəçiləri aldatmaq məqsədi ilə AnyDesk proqram təminatının rəsmi veb səhifəsinə (anydesk.com) bənzər şəkildə hazırlanıb.
Qeyd etmək lazımdır ki, kiberqruplaşma ainydesk[.]me domenini 2022-ci il 20 sentyabr tarixindən qeydiyyatdan keçirib və təqribən 1 aydan uzun müddətə müxtəlif yollarla kompüter istifadəçilərinin bu sayta cəlb edilməsi hədəf çevirməsinə nail olub.
Lakin, 1 aydan çox zaman keçməsinə baxmayaraq bir çox DNS təhlükəsizlik şirkətləri tərəfindən bu domen hələ də zərərverici kimi kateqoriyalaşdırılmayıb.
Qeyd edilən saytdan proqram təminatı yükləmək istədikdə yükləmə linki discord.com sosial şəbəkəsi üzərindən verilir. Bu təhlükəsizlik divarları tərəfindən yüklənən faylın aşkar edilməsindən qorunmaq məqsədi daşıyır və faylın etibarlı mənbədən yüklənməsini istiqamətlənmişdir. Faylın yüklənməsi zamanı 4 MB həcmində ZİP faylının endirildiyini görmək olar. ZIP faylının içində həcmi təqribən 700 MB olan EXE faylı yerləşdirilmişdir. Faylın həcminin çox böyük olması onun müxtəlif antivirus və virustotal.com kimi online fayl skanerlərindən yan keçməsi məqsədi daşıyır. Belə ki, bir çox antiviruslar müəyyən həcmdən kiçik faylları xüsusilə yoxlayırlar.
Zərərverici ilk öncə işə düşdüyü maşında internetin olub-olmadığını 91.213.50.70 İP ünvanına sorğu göndərməklə yoxlayır. İnternet olmadığı təqdirdə sorğular təkrar-təkrar göndərilir. İnternetə çıxış əldə etdikdən sonra C2 (Command & Control) serveri haqqında məlumat almaq üçün zərəverici yenə də qoruyucu divarlar tərəfindən (firewall) etibarlı (leqitim) mənbə hesab edilən Teleqram Messencerinin “t.me” saytından istifadə edir. Bu məqsədlə zərərverici https://t.me/slivetalks ünvanına sorğu göndərir və həmin kanalının şərh hissəsindən C2 serverin ünvanını əldə edir.
Zərərverici, C2 serverinin (idarəetmə mərkəzinin) ünvanını əldə etdikdən sonra mərkəzi serverə sorğu göndərir və hansı formatda fayllar axtarmalı olduğu barədə mərkəzi serverdən əmr alır.
Növbəti mərhələdə mərkəzi serverdən əldə etdiyi sorğu əsasında işçi masasında (desktop) olan bütün “txt” fayllarını götürməli olduğu əmrini alır. Daha sonra zərərverici http://78.47.204.168/686618116209.zip ünvanından zip faylını yükləyir. Bu fayl vasitəsi ilə zərərverici mərkəzi serverdən verilən əmrləri icra etmək üçün lazım olan bəzi dll fayllarını əldə edir.
Sonda zərərverici POST metodu ilə profile, profile_id, hwid, token, file paramterlərini C2 serverə göndərir. File parametrində base64 encode olunmuş zip faylı göndərilir. ZİP faylını analiz üçün eksport etdikdə brauzer yaddaşında saxlanılan şifrələr və desktop-da olan faylların oğurlandığını görmək mümkündür. Əlavə olaraq ekran şəkli, brauzer tarixi, cookie -lər də oğurlanmış məlumatlar olaraq ZİP faylının içində göndərilir.
