Sahte İş İlanı E-postaları BeaverTail Zararlı Yazılımını Yaymak İçin Kullanılıyor

Yeni bir siber saldırı, zararsız geliştirici dosyaları gibi gizlenmiş kötü amaçlı yazılımları yaymak için sahte işe alım e-postalarını kullanarak iş arayanları hedef alıyor.

ASEC ‘deki siber güvenlik uzmanları, bu zararlı yazılımı ilk tanımlayanlar olarak, bu olayın saldırganların kendilerini ya işe alıcılar ya da geliştirici topluluklarının üyeleri olarak gizleme taktiğinin artan bir durum olduğunu açıklıyorlar.

Olay ilk olarak 29 Kasım 2024’te, hackerların Dev.to’nun kimliğini kullanarak platformun geliştiricileri gibi davranmalarıyla ortaya çıktı.

Saldırganlar, kullanıcılardan projeyi incelemelerini istedikleri BitBucket kod deposu bağlantıları içeren e-postalar gönderdiler. Proje dosyaları, sıradan proje dosyaları olarak gizlenmiş zararlı yazılımlar içeriyordu.

Sahte dosyalar iki büyük tehdidi içeriyordu: Bir JavaScript tabanlı zararlı yazılım olan BeaverTail, “tailwind.config.js” dosyası olarak gizlenmiş, ve bir indirici olarak görev yapan ikinci bir bileşen olan car.dll. Açıldığında, bu dosyalar birlikte çalışarak giriş bilgilerini, tarayıcı verilerini ve hatta kripto para cüzdanı bilgilerini çalar.

ASEC’teki araştırmacılar, “BeaverTail’in genellikle iş teklifi olarak gizlenmiş phishing saldırılarıyla dağıtıldığı biliniyor” diye açıkladı. Bu saldırının önceki sürümleri LinkedIn gibi platformlarda tespit edildi.

Bu zararlı yazılım, standart sistem işlemlerini taklit ederek gerçek amacını gizleyerek önemli bir tehdit oluşturur. Zararlı yazılım, antivirus yazılımları tarafından tespit edilmesini önlemek için standart Windows yardımcı programları olan PowerShell ve rundll32 araçlarını kullanır.

Bir sistem içine sızdıktan sonra, zararlı yazılım, gelişmiş bir arka kapı işlevi gören Tropidoor’u alır ve çalıştırır. Bu araç, dosya silme, program kodu enjeksiyonu ve ekran görüntüsü yakalama dahil olmak üzere 20’den fazla farklı komutu çalıştırırken uzak sunucularla şifreli bağlantılar kurar.

“Tropidoor… temel sistem bilgilerini toplar ve rastgele bir 0x20 byte anahtar üretir, bu anahtar bir RSA genel anahtarı ile şifrelenir,” diye belirttiler araştırmacılar. Bu güvenli bağlantı, hackerların fark edilmeden enfekte olmuş makineleri kontrol etmelerine izin verir.

Güvenlik ekipleri, herkesin bu dönemde çok dikkatli olmasını öneriyor. Beklenmedik işe alım e-postalarına, özellikle kod depolarına veya proje dosyalarını indirmenizi isteyenlere karşı temkinli olun. Herhangi bir içeriği açmadan önce her zaman resmi şirketle kontrol edin.