SEO forgiftning med Postman som lokkemad

2024-09-28

IT-kriminelle misbruger den populære applikation "Postman" (postman.com) i forsøg på at lokke søgninger ind på en forfalsket webside, som gør brug af et særligt oprettet domæne, der ligger tæt op af den legitime. Domænet peger på en server som tilbyder en 1:1 kopi af Postman's webside, og hvorfra der tilbydes en trojaniseret installationspakke.

Hvad er Postman?
Postman er en API (Application Programming Interface) platform, som bruges til at udvikle og anvende API'er.

Tæt på, men langt fra
Det pågældende domæne, som anvendes til at tiltrække sig besøgende, hedder (saniteret) posfman[.]com. Domænet er registreret for 51 dage siden (8.8. 2024) og hostet i Tyskland hos Amazon AWS.

Filen der tilbydes fra den falske webside hedder "WinSCP-6.3.4-Setup.exe" og skal forestille at være en installationspakke til WinSCP. Ved kørsel af denne pakke vil det spawne:

C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\shell32.dll,SHCreateLocalServerRunDll {9aa46009-3ce0-458a-a354-715610a075e6} -Embedding

og eksekvere:
"C:\[brugerkonto]\admin\Downloads\app_release_new_x86-x64.exe" /silent /sp-
-->
C:\[brugerkonto]\admin\AppData\Local\Temp\is-RB4RJ.tmp\windowinvert.exe

Denne kan vi knytte til andre SEO kampagner hvor der droppes StealC. Se diagram:

StealC datatyv
StealC er udviklet i Rusland af "Plymouth" og blev for første gang annonceret på russisk sprogede undergrundsforum i Januar 2023. Den er udviklet i C og dropper 7 supplerende komponenter. Kommunikationen med C&C serveren er kodet med BASE64 og krypteret med RC4.

Den høster data som passwords, wallet data og cookies fra populære browsere og sender disse til den udvalgte C&C gateway:

cookies.sqlite
formhistory.sqlite
places.sqlite
plugins
local Extension Settings
Sync Extension Settings
IndexedDB
Opera Stable
Opera GX Stable
CURRENT
chrome-extension_
_0.indexeddb.leveldb
Local State
profiles.ini
chrome
opera
firefox
wallets

Af andre StealC C&C som er set indenfor den seneste uge finder vi (saniteret)

154.216.20[.]48
193.233.48[.]86
94.156.71[.]229
91.92.251[.]44
77.55.212[.]31
147.45.47[.]36
80.66.85[.]61

Download domæner (saniteret)

getgym[.]top
download-discord[.]top
systemupdate-microsoft[.]top
jeffmorales[.]top

Disse kan med fordel blokeres i sin sikkerhedsløsning.