Yüksek seviyedeki güvenleri ve popülerlikleri nedeniyle bilgisayar korsanları, saldırı vektörleri olarak sıklıkla silah haline getirilmiş PDF dosyalarını kullanır.
PDF’ler bile PDF okuyucularındaki kusurları kötüye kullanan zararlı kodlar veya istismarlar içerebilir.
Bu kötü amaçlı PDF, farkında olmayan bir kullanıcı tarafından açıldığında, veri çalışır ve sisteme sızar.
Fortinet’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının Byakugan kötü amaçlı yazılımını yaymak için silah haline getirilmiş PDF dosyalarını aktif olarak kullandığını tespit etti.
Free Webinar forDIFR/SOC Teams: En İyi 3 KOBİ Siber Saldırı Vektörünün Güvenliğini Sağlama - Ücretsiz Kayıt Olun
Teknik Analiz
FortiGuard Labs, Ocak 2024’te çok işlevli Byakugan kötü amaçlı yazılımını dağıtan Portekizce bir PDF dosyası keşfetti.
Kötü amaçlı PDF, bulanık bir tablo sunarak insanları kandırarak bir bağlantıya tıklamalarını sağlıyor.
Bu da bir kopya (requires.exe) koyan ve DLL ele geçirme için DLL’yi kaldıran bir indiriciyi etkinleştirir.
Bu, ana modülü (chrome.exe) almak için require.exe dosyasını çalıştırır. Özellikle indirici, temp’de require.exe çağrıldığında farklı davranır çünkü kötü amaçlı yazılımdan kaçma belirgindir.
Kurbanların ekranlarında bulanık bir tablo görüntüleniyor ve onlardan DLL ele geçirme için bir DLL indirmelerini ve indiriciyi başlatan bir kopyayı (require.exe) bırakmalarını sağlayan bir bağlantıya tıklamaları isteniyor.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
Ana modülü (chrome.exe) getirmek için require.exe çalıştırılır.
Ancak davranışı, geçici klasöre yerleştirilirken yeniden adlandırılıp adlandırılmamasına bağlı olarak biraz değişir, bu da onun kaçamak olduğunu gösterir.
Bu, pkg kullanılarak çalıştırılabilen bir node.js kötü amaçlı yazılım paketidir. Ana betiği ve birkaç özellik kütüphanesini içerir.
Cyber Security News ile paylaşılan bir Fortnet raporuna göre, kötü amaçlı yazılım tarafından oluşturulan veriler olan %APPDATA%ChromeApplication klasöründen ek dosyalar indirmek de onun uyarlanabilirliğini ve kalıcılığını gösteriyor.
Byakugan’ın özellikleri
Aşağıda Byakugan’ın tüm özelliklerinden bahsettik: –
- Ekran monitörü
- Ekran görüntüsü
- Madenci
- Keylogger
- Dosya manipülasyonu
- Tarayıcı bilgi hırsızı
- Anti-analiz
- Kalıcılık
Kötü amaçlı yazılımlardaki kötü amaçlı bileşenlerin birleştirilmesi yönünde artan eğilimin bir parçası olup, artan gürültü nedeniyle bunların doğru şekilde tanımlanmasını zorlaştırmaktadır.
Ancak indirilen dosyalar Byakugan’ın içeride nasıl çalıştığına dair bazı önemli şeyler gösterdi ve Truva atının zararlı modüllerinin analiz edilmesini kolaylaştırdı.
Are you from SOC & DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free
IoC’ler
Git deposu
- github[.]com/thomasdev33k
- github[.]com/fefifojs
- github[.]com/wonderreader
C2 Sunucusu
- suçlamafade.com[.]br
- thinkforce.com[.]olmak
Dosyalar
c7dbb5e9e65a221a5f78328b5a6141dd46a0459b88248e84de345b2a6e52b1d9
c6fe9169764301cadccb252fbed218a1a997922f0df31d3e813b4fe2a3e6326d
c9a27dbae96afb7d083577d30b2947c8ba9d1a6cb7e10e5f259f0929ef107882
9ef9bbfce214ee10a2e563e56fb6486161c2a623cd91bb5be055f5745edd6479
4d8eac070b6b95f61055b96fb6567a477dbc335ef163c10514c864d9913d23cb
30991c9cac5f4c5c4f382f89055c3b5e9bb373c98ce6a5516d06db3f8a478554