Check Point Research’ün son bulgularına göre, 40’tan fazla önde gelen Kolombiyalı şirketi hedef alan önemli bir kimlik avı saldırısı ortaya çıkarıldı.
Bu kampanyanın arkasındaki saldırganlar, kurbanların sistemlerine, kötü amaçlı faaliyetlerdeki çok yönlülüğüyle bilinen kötü şöhretli “Remcos” kötü amaçlı yazılımını bulaştırmayı amaçlıyordu.
Remcos, saldırganlara ele geçirilen bilgisayarlar üzerinde tam kontrol sağlayan Uzaktan Erişim Truva Atı (RAT) olarak sınıflandırılır. Bu kontrol, veri hırsızlığı, daha fazla kötü amaçlı yazılım kurulumu ve kullanıcı hesaplarının ele geçirilmesi gibi çeşitli kötü amaçlı eylemler gerçekleştirmelerine olanak tanır.
Saldırının İşleyiş Yöntemi
Sahte E-posta: Saldırganlar, kampanyayı bankalar veya Kolombiya şirketleri gibi güvenilir kuruluşların kimliğine bürünen aldatıcı e-postalar göndererek başlattı. Bu e-postalar genellikle acil mesajlar, ödenmemiş borçlar veya cazip teklifler içeriyordu.
E-posta eki: E-postalar, genellikle ZIP veya RAR dosya formatlarında, temel belgeleri veya faturaları içerdiğini iddia eden, görünüşte zararsız ekler içeriyordu.
Gizli Komutlar: Arşiv dosyalarının içinde oldukça karmaşık Toplu İş (BAT) dosyaları vardı. Yürütüldüğünde, bu BAT dosyaları PowerShell komutlarını çalıştırıyordu, bu komutlar da gizlenmişti ve güvenlik çözümlerinden kaçmak için çok katmanlı bir gizleme yaratıyordu.
.NET Modüllerini Yükleme: Bu talimatlar kurbanın bilgisayarına, saldırının sonraki aşamaları için gerekli olan iki kritik bileşenin yüklenmesine neden oldu.
Trustifi’nin yapay zeka destekli e-posta güvenlik çözümüyle İş E-postanızı izleme, engelleme, değiştirme, kimlik avı, hesap ele geçirme, iş e-postasının ele geçirilmesi, kötü amaçlı yazılım ve fidye yazılımı gibi tehditlere karşı koruyun.
Ücretsiz demo
İlk .NET Modülü: Kaçınma ve Kancayı Kaldırma: İlk bileşen, bilgisayarın güvenlik mekanizmalarını devre dışı bırakmayı ve aldatmayı, kötü niyetli etkinliklerin tespit edilmesini engellemeyi amaçlıyordu.
İkinci .NET Modülü: “LoadPE” ve Remcos’un Yüklenmesi: Bu bölüm, dosya kaynaklarından “LoadPE” adlı başka bir bileşeni dinamik olarak yükledi. “LoadPE”, Remcos kötü amaçlı yazılımının diskte depolanmadan doğrudan belleğe yüklenmesine olanak tanıyan yansımalı yüklemeden sorumluydu.
“LoadPE” ile Yansıtıcı Yükleme: Saldırganlar “LoadPE”yi kullanarak son veri olan Remcos kötü amaçlı yazılımını belleğe yükledi. Bu yansıtıcı yükleme tekniği, geleneksel antivirüs ve uç nokta güvenliği çözümlerinden daha da kaçındı.
Nihai Yük: Remcos – İsviçre Çakısı RAT: Remcos’un belleğe başarılı bir şekilde yüklenmesiyle, saldırganlar ele geçirilen sistem üzerinde tam kontrol elde ederek yetkisiz erişim, veri hırsızlığı, tuş kaydı ve uzaktan gözetleme gibi çok çeşitli kötü amaçlı faaliyetlere olanak sağladı.
Check Point Research tarafından yapılan ayrıntılı teknik araştırma, kötü niyetli aktörler tarafından kullanılan saldırı tekniklerine ve gizleme prosedürlerine odaklanarak bu saldırının gerçekleştirilmesinin karmaşıklığına ilişkin bilgiler sağlıyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.