Een voorheen ongedocumenteerde dreigingsacteur genaamd Boolka Er is waargenomen dat websites met kwaadaardige scripts werden gecompromitteerd om een modulaire trojan met de codenaam af te leveren BMANAGEER.
“De dreigingsactor achter deze campagne voert al sinds minstens 2022 opportunistische SQL-injectieaanvallen uit op websites in verschillende landen”, zeiden Group-IB-onderzoekers Rustam Mirkasymov en Martijn van den Berk in een vorige week gepubliceerd rapport.
“De afgelopen drie jaar hebben de bedreigingsactoren kwetsbare websites geïnfecteerd met kwaadaardige JavaScript-scripts die in staat zijn alle gegevens te onderscheppen die op een geïnfecteerde website zijn ingevoerd.”
Boolka ontleent zijn naam aan de JavaScript-code die in de website is ingevoegd en die elke keer dat een nietsvermoedende bezoeker op de geïnfecteerde site terechtkomt, doorstuurt naar een command-and-control-server met de naam “boolka(.)tk”.
Het JavaScript is ook ontworpen om gebruikersinvoer en interacties te verzamelen en te exfiltreren in een Base64-gecodeerd formaat, wat aangeeft dat de malware wordt gebruikt om gevoelige details zoals inloggegevens en andere persoonlijke informatie te bemachtigen.
Bovendien leidt het gebruikers om naar een valse laadpagina die de slachtoffers ertoe aanzet een browserextensie te downloaden en te installeren, terwijl het in werkelijkheid een downloader voor de BMANAGER-trojan dropt, die op zijn beurt probeert de malware van een hardgecodeerde URL op te halen. . Het malware-leveringsframework is gebaseerd op het BeEF-framework.
De trojan dient op zijn beurt als kanaal om vier extra modules in te zetten, waaronder BMBACKUP (bestanden van bepaalde paden verzamelen), BMHOOK (registreren welke applicaties actief zijn en toetsenbordfocus hebben), BMLOG (toetsaanslagen registreren) en BMREADER (exporteren gestolen gegevens). Het stelt ook persistentie op de host in met behulp van geplande taken.
“De meeste voorbeelden maken gebruik van een lokale SQL-database”, merkten de onderzoekers op. “Het pad en de naam van deze database zijn hardgecodeerd in de voorbeelden en bevinden zich op: C:Users{user}AppDataLocalTempcoollog.db, waarbij gebruiker de gebruikersnaam is van de ingelogde gebruiker. “
Boolka is de derde actor na GambleForce en ResumeLooters die de afgelopen maanden gebruik heeft gemaakt van SQL-injectieaanvallen om gevoelige gegevens te stelen.
“Vanaf opportunistische SQL-injectieaanvallen in 2022 tot de ontwikkeling van zijn eigen platform voor het leveren van malware en trojans zoals BMANAGER, tonen de activiteiten van Boolka aan dat de tactieken van de groep in de loop van de tijd geavanceerder zijn geworden”, concludeerden de onderzoekers.
“De injectie van kwaadaardige JavaScript-fragmenten in kwetsbare websites voor data-exfiltratie, en vervolgens het gebruik van het BeEF-framework voor het leveren van malware, weerspiegelt de stapsgewijze ontwikkeling van de competenties van de aanvaller.”
