AsyncRAT Sunan Silahlandırılmış E-Kitaplara Dikkat Edin

   Temmuz 15, 2024  Posted in GBHackers


E-kitaplar popülerdir ve popülerlikleri tehdit aktörleri için en kazançlı olanıdır, çünkü güvenlik önlemlerini kolayca aşabilen, yaygın olarak paylaşılan dijital varlıklardır.

Tehdit aktörleri, kötü amaçlı yazılımları e-kitap dosyalarına yerleştirerek veya kötü amaçlı kodları meşru e-kitaplar gibi gizleyerek kullanıcıların görünüşte zararsız belgelere olan güvenini kötüye kullanırlar.

ASEC araştırmacıları, AsyncRAT dağıtımının birden fazla dosya uzantısı (.chm, .wsf, .lnk) aracılığıyla gerçekleştiğini ve tehdit aktörlerinin kötü amaçlı yazılımı anketler gibi normal görünen belge dosyalarının içine gizlediğini bildirdi.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files

Silahlandırılmış E-Kitaplar AsyncRAT Sunar

Son zamanlarda, AsyncRAT’ın bir e-kitap olarak gizlendiği ve kullanıcıları bu uzaktan erişim trojanını çalıştırmaya kandırmak için kullanılan gelişen yöntemleri gösteren yeni bir taktik ortaya çıktı.

Kötü Amaçlı E-Kitap (Kaynak – ASEC)

Silahlandırılmış e-kitap paketinin içerisinde, kötü amaçlı kod içeren bir LNK dosyasını gösteren sahte bir simge, gizli bir PowerShell betiği içeren başka bir TXT dosyası, sıkıştırılmış video dosyaları ve gerçek bir e-kitap bulunuyor.

Kötü amaçlı bir LNK dosyası (Kaynak – ASEC)

Çalıştırıldığında, LNK dosyası aracılığıyla RM.TXT’nin gizli PowerShell betiğini çalıştırır, bu da indirici kötü amaçlı yazılım klasörünü gizler ve karartılmış bir betik gerçekleştirir.

Bu betiğin bulduğu güvenlik ürünlerine dayanarak, sahte video dosyalarından gerçek kötü amaçlı yazılımları başlatabilir.

Video dosyaları gibi gizlenmiş sıkıştırılmış dosyalar (Kaynak – ASEC)

Toplamda üç işlev gizli dosyaları açar, görev zamanlamalarını kaydeder ve betikleri yürütür. AsyncRAT’ı çalıştırmak için bu betikler aşağıdaki verileri toplar:-

  • Sistem bilgisi
  • Gizlenmiş dosyaları yükle

Kötü amaçlı yazılım, tespit edilmekten kaçınmak için meşru süreçler gibi görünüyor ve çeşitli karartma teknikleri kullanıyor.

Son yük olan AsyncRAT, algılama önleme mekanizmaları, kalıcılık ve veri sızdırma yeteneklerine sahiptir.

Paylaşım sitelerindeki gizli dosyalar ve kimlik avı e-postaları da dahil olmak üzere çeşitli yöntemlerle dağıtılan bu tehdit, çok yönlü ve tehlikeli bir tehdit haline geliyor.

IoC’ler

MD5’ler:-

  • dea45ddf6c0ae0f9f3fde1bfd53bc34f (VideoVLC_altyazılar.exe)
  • b8d16e9a76e9f77975a14bf4e03ac1ff (RM.TXT)
  • 50005f22608e93dff1d9ed18f6be95d3 (İncil’den İş Sırları – Haham Daniel Lapin.LNK)
  • 1ada2c6796a3486b79c5eb47fce9b19c (worldofprocure.rar)
  • 21714b248ab9ca42097a7834251a7452 (NTUSER.vbs{428f9636-1254-e23e3-ada2-03427pie22}.TM.vbs)

C&C Sunucusu:-

İndirme URL’si:-

  • hxxps://worldofprocure[.]com/worldofprocure.rar

“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo



Source link