Son e-posta kampanyaları, DanaBot kötü amaçlı yazılımını iki belge türü aracılığıyla dağıtıyor: denklem düzenleyici açıklarını kullananlar ve saldırganların kötü amaçlı bir Word belgesi eklenmiş iş başvurusu kılığında e-postalar gönderdiği harici bağlantılar içerenler.
Belgenin kendisi kötü amaçlı yazılım içermiyor ancak bunun yerine kullanıcıyı DanaBot bulaşma sürecini başlatan harici bir bağlantıya tıklaması için kandırıyor.
Uç Nokta Tespit ve Yanıt (EDR) sistemi, bir kullanıcının kötü amaçlı bir e-posta ekini tıklatarak açtığı şüpheli bir süreç zincirini keşfetti.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın
Bir Word belgesi (.docx) olan ek, Outlook’un (outlook.exe), Word (winword.exe), Komut İstemi (cmd.exe), PowerShell (powershell.exe) ve potansiyel olarak kötü amaçlı yazılım içeren bir diziyi çalıştırmasına neden oldu. rundll32.exe kullanılarak yürütülebilir dosya (iu4t4.exe).
Kötü amaçlı makro belgesi (w1p4nx.dotm), DanaBot kötü amaçlı yazılımını (iu4t4.exe) bir komut ve kontrol sunucusundan (C2) indiren bir PowerShell komut dosyası içeren makro kodu kullanılarak kodu çözülen kodlanmış CMD komutlarını yürütür.
Uç Nokta Algılama ve Yanıt (EDR) sistemi, kodu çözülmüş komutları ve PowerShell aracılığıyla C:\Users\Public dizininde DanaBot yürütülebilir dosyasının oluşturulmasını onaylar.
EDR diyagramlarının ASEC tarafından yapılan analizi, DanaBot’un (iu4t4.exe) kendi kendine enjeksiyon tekniğini ortaya koyuyor; burada kötü amaçlı yazılım, rundll32.exe’yi kullanarak Shell32.dll’nin işlevlerini yürütüyor, kendi kılığı altında etkili bir şekilde çalışıyor ve DanaBot’un algılamayı atlamasına ve kalıcılık oluşturmasına olanak tanıyor.
EDR verileri, kötü amaçlı yazılımın bulaşma sonrası kötü niyetli faaliyetlerini gösterir; ekran görüntüleri yakalayabilir, bilgisayardan hassas bilgileri çalabilir ve tarayıcı hesabı kimlik bilgilerini çalabilir, komuta ve kontrol sunucusuyla sürekli iletişim gerektirmeden sistemin güvenliğini tehlikeye atabilir.
Potansiyel kötü amaçlı yazılım bulaşmasını içeren bir olay tespit edildi ve komut dosyası oluşturma ve kötü amaçlı yazılım yürütme girişimleri gözlemlendi (M10747, M10459). İndirilen dosyalar (DOCX, DOTM) şüpheli olarak işaretlendi (Downloader/XML.External, Downloader/DOC.Generic.S2503).
Daha ileri analizler, ilişkili IOC’lerle (0bb0ae135c2f4ec39e93dcf66027604d.DOCX, 28fd189dc70f5bab649e8a267407ae85.DOTM, e29e4a6c31bd79d90ab2b8) bir Truva atı (Trojan/Win.DANABOT.C5608053) ortaya çıkardı 9f57075312.exe).
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free