Araştırmacılar, devam eden bir bilgi çalma kampanyasının, spam e-postalar yoluyla hedefe gönderilen yeni bir BATLoader kullandığını buldu.
E-postalarda, diğer RAT’leri ve bilgi çalan kötü amaçlı yazılımları yayan yasal görünümlü Microsoft OneNote ekleri vardı. Cyble Research and Intelligence Labs (CRIL), bu teknik aracılığıyla yayılan QuasarRAT, AsyncRAT, DCRAT, Stormkitty ve RedLine hırsızı gibi kötü amaçlı yazılımları tespit etti.
Ancak araştırmacılar, yöntemdeki farkı ve kötü amaçlı yükün BATLoader kullanılarak nasıl iletildiğini fark ettiler. Kötü amaçlı yazılım, genellikle uzak sunuculardan dosyalara doğrudan bağlantılar barındıran bir Açık Dizin (OpenDir) kullandı, ancak burada bunun yerine kötü amaçlı yazılımı barındırdı. BATLoader kötü amaçlı yazılımı olan Bill.exe adlı ikili dosyayı depoladı.
Kullanıcılar, ekli belgeyi görüntülemek için tıklamalarını isteyen spam e-postalarla hedef alındı. BATLoader kötü amaçlı yazılımını içeren ekteki OneNote belgesinin adı SHIPMENT_DOCUMENTS.one idi.
BATLoader kötü amaçlı yazılım tarafından QuasarRAT sağlamak için saldırı vektörü
Bill.exe’yi çalıştırdıktan sonra %temp%’de Bill.bat’ı düşürdü; gizlenmiş bir BAT dosyasıydı. BAT veya toplu iş dosyaları, Microsoft tarafından çeşitli komutları çalıştırmak için kullanılır, ancak diğer programlama dillerinde olduğu gibi kötü amaçlı yazılım başlatmak için kötüye kullanılabilirler.
Aşağıdaki adımlarda, BAT dosyası meşru PowerShell.exe dosyasını system32’den kopyaladı ve onu Bill.bat.exe adıyla %temp% klasörüne bıraktı.
BAT dosyasının içindeki PowerShell’deki verileri çalıştırdı ve sonunda verilerin şifresinin çözülmesine, açılmasına ve bir .NET derlemesi olarak yüklenmesine yol açtı.
Dosyadaki kod, BATLoader kötü amaçlı yazılımı tarafından nasıl yürütülür?
Bulunan Bill.bat dosyasından C:\Kullanıcılar\
Base64’te kodlanmış sabit kodlanmış diziler kullanılarak, şifreleme anahtarı ve Key & IV başlatma vektörü toplanır. Bundan sonra, AES şifresi çözülmüş verilerle bir System.IO.MemoryStream nesnesi oluşturulur. Gzip sıkıştırılmış formdadır.
Bundan sonra, veriler kullanılarak açılır [IO.Compression.CompressionMode]::Açmak bir nesneden System.IO.Compression.GZipStream.
Taşınabilir bir yürütülebilir dosya olan bu veriler, kullanılarak bir .Net derlemesine yüklenir. [System.Reflection.Assembly]::Yük yöntem. Invoke yöntemi, derlemedeki kodu çalıştırır.
QuasarRAT’ın teslimatını gösteren basitleştirilmiş resim (Resim: Cyble)
.NET derlemesindeki kod yürütülür ve ardından verilerin şifresi çözülür. Şifrelenmiş veriler, payload.exe adlı .NET kaynak dizininde çalıştırılır. Bu .exe dosyası, BATLoader kötü amaçlı yazılımı tarafından sağlanan QuasarRAT’tır.
BATLoader’lar, yasal toplu iş ve PowerShell betiklerinde gelişen ilk erişim kötü amaçlı yazılımlarıdır. Diğer kötü amaçlı yazılımları dağıtır; ancak bunların tümü, BATLoader’ı içeren bir e-posta gibi tek bir iletişime bağlıdır. Bu e-postaya ulaşılmazsa veya bağlantı indirilmezse kampanya başarısız olur.
Uzaktan Erişim Truva Atları (RAT), bir siber suçlunun verileri çalmak, sistemi kontrol etmek, fidye yazılımını başlattıktan sonra verileri şifrelemek vb. Siber suçlunun başarılı bir şekilde daha fazla saldırı başlatması gerektiğinden, kalıcılık kazanabilir ve sistemlerde görevler planlayabilir.