R77 adlı açık kaynaklı bir rootkit sunmak için sosyal mühendislik taktiklerinden yararlanan yeni bir kötü amaçlı yazılım kampanyası gözlendi.
Aktivite, kınandı Belirsiz # yarasa Securonix tarafından, tehdit aktörlerinin uzlaşmacı sistemlerde kalıcılık oluşturmalarını ve tespitten kaçınmasını sağlar. Şu anda kampanyanın arkasında kimin olduğu bilinmiyor.
Güvenlik araştırmacıları Den Iuzvyk ve Tim Peck, hacker News ile paylaşılan bir raporda, “herhangi bir dosyayı, kayıt defteri tuşunu veya görevi belirli bir önekle başlayarak gizleme veya maskeleme yeteneğine sahiptir” dedi. “Meşru yazılım indirmeleri olarak veya sahte captcha sosyal mühendislik dolandırıcılıkları aracılığıyla kullanıcıları hedefliyor.”
Kampanya esas olarak İngilizce konuşan bireyleri, özellikle Amerika Birleşik Devletleri, Kanada, Almanya ve Birleşik Krallık’ı hedeflemek için tasarlanmıştır.
Belirsiz#Bat, saldırının başlangıç noktasının, rootkitin dağıtımında doruğa ulaşan çok aşamalı bir işlemi etkinleştirmek için PowerShell komutlarını yürüten gizlenmiş bir Windows toplu komut dosyası olduğu gerçeğinden alır.
Kullanıcıların kötü amaçlı toplu komut dosyalarını yürütmelerini sağlamak için en az iki farklı başlangıç erişim yolu tanımlanmıştır: kullanıcıları sahte bir Cloudflare captcha doğrulama sayfasına ve kötü amaçlı yazılımların TOR tarayıcısı, VoIP yazılımı ve mesajlaşma istemcileri gibi meşru araçlar olarak reklamını kullanan ikinci bir yöntem kullanan rezil ClickFix stratejisini kullanan biri.
Kullanıcıların bubi tuzaklı yazılıma nasıl çekildikleri açık olmasa da, kötü niyetli veya arama motoru optimizasyonu (SEO) zehirlenmesi gibi denenmiş ve test edilmiş yaklaşımlar içerdiğinden şüpheleniliyor.
Kullanılan yöntemden bağımsız olarak, birinci aşama yükü, toplu komut dosyasını içeren bir arşivdir, daha sonra PowerShell komutlarını ek komut dosyaları bırakmaya, Windows kayıt defteri değişiklikleri yapmaya ve kalıcılık için planlanan görevler ayarlamaya çağırır.
Araştırmacılar, “Kötü amaçlı yazılım, Windows Kayıt Defteri’nde gizlenmiş komut dosyalarını depolar ve planlanan görevler aracılığıyla yürütülmeyi sağlar ve arka planda gizlice çalışmasına izin verir.” Dedi. “Ayrıca, sahte bir sürücüyü (acpix86.sys) kaydetmek için sistem kayıt defteri anahtarlarını değiştirerek kendisini sisteme yerleştirir.”
Saldırı boyunca konuşlandırılan, tespitten kaçınmak için bir sürü hileler kullanan bir .NET yüküdür. Bu, kontrol akışı gizleme, dize şifrelemesi ve Arapça, Çince ve özel karakterleri karıştıran fonksiyon adlarını kullanmayı içerir.
PowerShell aracılığıyla yüklenen bir başka yük, antivirüs tespitlerini atlamak için antimalware tarama arayüzü (AMSI) yamasını kullanan bir yürütülebilir üründür.
.NET yükü nihayetinde “acpix86.sys” adlı bir sistem modu rootkitini “C: \ windows \ system32 \ sürücüler \” klasörüne bırakmaktan sorumludur ve bu da daha sonra bir hizmet olarak başlatılır. Ayrıca, ana bilgisayarda kalıcılığı ayarlamak ve desenle eşleşen dosyaları, işlemleri ve kayıt defteri anahtarlarını gizlemek için R77 olarak adlandırılan bir kullanıcı modu rootkit ($ nya-).
Kötü amaçlı yazılım, pano etkinliği ve komut geçmişi için periyodik olarak izler ve bunları olası bir şekilde pesfiltrasyon için gizli dosyalara kaydeder.
Araştırmacılar, “Belirsiz#BAT, algılamadan kaçınırken tehlikeye atılan sistemlerde devam etmek için gizlemeden, gizli teknikleri ve API kancasını kullanan son derece kaçamaklı bir saldırı zinciri gösteriyor.” Dedi.
“Sıkışmış parti komut dosyasının (Install.bat) ilk yürütülmesinden, planlanan görevlerin ve kayıt defteri depolanan komut dosyalarının oluşturulmasına kadar, kötü amaçlı yazılım yeniden başlatmalardan sonra bile kalıcılığı sağlar. Winlogon.exe gibi kritik sistem süreçlerine enjekte ederek işlem davranışını daha da karmaşık hale getirmek için manipüle eder.”
Bulgular, kullanıcıların kullanıcıların kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını hasat etmek üzere tasarlanan yapay zeka (AI) asistanı için kullanıcıları sahte bir açılış sayfasına götürmek için kimlik avı e-postalarını kullanan bir Microsoft Copilot sahte kampanyası ayrıntılı olarak geliyor.