Google Sites’ta Barındırılan Kötü Amaçlı Yazılım Verileri MySQL Sunucusuna Gönderiliyor

Güvenlik araştırmacıları, web siteleri oluşturmak için Google Sites platformunda barındırılan kötü amaçlı yazılımları buldular. Tehditsaldırgan tarafından kontrol edilen bir MySQL sunucusuna veri gönderen bir bilgi hırsızı için bir damlalıktır.

LoadPCBanker adlı kötü amaçlı yazılım, konuk evi rezervasyon bilgilerini içeren bir PDF dosyası olarak gizlenen bir çalıştırılabilir dosyadır ve Google Sites için Dosya Dolabı saklama alanında depolanır.

Çıkarılan PDF’nin adı “PDF Rezervasyon Ayrıntıları MANOEL CARVALHO hospedagem, tanıdık PDF.exe ‘yi deforme etti.

12 Nisan‘da Netskope’deki araştırmacılar, kötü amaçlı yazılımı barındıran ilişkili Google sitelerini bildirdi. Ancak, örnekler hala mevcuttu ve yazı yazarken indirilebilir.

VirusTotal tarama servisi aracılığıyla çalıştırıldığında , platformda listelenen 66 antivirüs motorundan 47‘sı tespit edildi.

Netskope , BleepingComputer ile paylaşılan bir raporda , “Tehdit oyuncusu bir web sitesi oluşturmak için klasik Google sitelerini kullandı, daha sonra dosya dolabı şablonunu yükü yüklemek için kullandı ve sonuçta ortaya çıkan URL’yi potansiyel hedeflere gönderdi.”

Başlatıldığında sahte PDF dosyası bir klasör oluşturur ve libmySQL50.DLL, otlook.exe ve cliente.dll yüklerini KingHost barındırma web sitesinden indirir.

Otlook.exe açıkça Microsoft’un Outlook e-posta istemcisini taklit etmek için adlandırılmış ve ekran görüntüleri alabilen, panoya kaydedilen verileri kaydedebilen ve tuş vuruşlarını kaydedebilen bir bilgi hırsızı.

Ayrıca, çalınan bilgileri alan SQL veritabanının kimlik bilgilerini ve bağlantı ayrıntılarını içeren bir dosya için bir indirici işlevi görür. Dosya yeni erişim bilgileriyle sürekli güncellenmektedir.

Verilerin atılması, veritabanı sunucusuyla bağlantıyı kolaylaştıran bir kütüphane olan DLL bileşeninin yardımıyla mümkündür.

Veritabanının yakalanması, iki tabloyu gösterir: biri virüs bulaşmış makine hakkında, diğeri ise çalınan pano verisi hakkında bilgi içerir.

“Analizimiz sırasında, tehdit aktörünün belirli bir dizi makineyi sürmekle ve bu saldırıdan ödün verilmiş kurbanların makinelerinin ekran görüntülerini yakalamakla özellikle ilgilendiğini tespit edildi. Çok sayıda virüslü makine tepkisi fark edildi, ancak sadece birkaçı aktif olarak denetleniyordu. Yazarken, tehdit oyuncusu aktif olarak 20 enfekte olmuş konağı izliyordu. ” dediler..

Araştırmacılar, aynı türde kötü amaçlı yazılımın 2014’ün başından bu yana ortaya çıktığına inanıyor. Son kampanyalar Şubat 2019‘dan beri aktif.

Aynı aktörün tüm saldırıların arkasında mı olduğu yoksa kötü amaçlı yazılım kodunun diğer siber suçlularla paylaşılıp paylaşılmadığı açık değildir.

Kaynak: https://www.bleepingcomputer.com/news/security/malware-hosted-in-google-sites-sends-data-to-mysql-server/

 

Yazar Adnan Güney

Samsun-Turkey doğumlu. 1989-2005 Temsa Mitsubishi Sabancı Otomotiv grubunda çalıştı. Araştırma, Geliştirme, Web siteleri ile uğraşma ve Paylaşımı seven biri.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Google Chrome, Yeni Bir Uzantı Menüsünü Test Ediyor

Google, Arama Sonuçlarını: Yapılandırılmış Verilerle Zenginleştirme