“tar.lz” arşiv ekleri, DBatLoader ve Remcos’u dağıtan kimlik avı e-postalarına dahildir. Çoğu zaman, bu ekler aşağıdaki gibi finansal belgeler olarak gizlenir: –
- faturalar
- İhalelere ilişkin belgeler
Tehdit aktörlerinin, e-postaların güvenilir bir kaynaktan geliyormuş gibi görünmesini sağlamak için çeşitli teknikler kullandığı gözlemlendi.
Satış departmanları veya birincil aktif iletişim e-posta adresleri, hedeflerinin bu kimlik avı e-postaları aracılığıyla esas olarak tehdit aktörleri tarafından hedef alınır.
Kimlik avı e-posta adreslerinin çoğu, hedef ülkenin çok sayıda kimlik avı e-postasının gönderildiği üst düzey etki alanına bağlıdır.
Rapora göre, Kötü amaçlı eklere genellikle hedefin bulunduğu ülkenin dilinde yazılmış metinler eşlik ediyor. Hatta bazıları herhangi bir metin içermez.
Tehdit aktörleri, yerel kurumlar veya ticari kuruluşlar gibi davranmıyorlarsa İngilizce metin kullanırlar.
DBatLoader ile Remcos RAT Hazırlama
DBatLoader yürütülebilir dosyaları, tar.lz arşivleri kullanılarak kimlik avı e-posta eklerine eklenir. Çift uzantılar ve uygulama simgeleri kullanan Remcos, kendisini aşağıdaki yasal belgeler olarak gizler:-
- Microsoft Office
- LibreOffice
Genel bir bulut konumundan, gizlenmiş ikinci aşama yük verileri indirilir. Bu, bir kullanıcı ekte bulunan yürütülebilir dosyayı açıp çalıştırdığında gerçekleşir.
Şu an itibariyle, indirme bağlantılarının farklı kullanım ömürleri vardır ve en uzunu bir aydan fazladır. Ancak, Microsoft OneDrive ve Google Drive sitelerine bağlıdırlar.
Etkin olan bulut dosya depolama konumlarında yalnızca ikinci aşama DBatLoader yük verileri mevcuttu. DBatLoader yükü, Microsoft OneDrive veya Google Drive’da barındırılıyor gibi görünüyor.
Ancak gerçek şu ki, tehdit aktörleri tarafından kullanılan sürücü hesaplarının kendi kendine kayıtlı olup olmadığı veya tehlikeye atılıp atılmadığı henüz net değil. Kötü amaçlı yazılım tarafından %Public%/Libraries dizininde bir başlangıç toplu komut dosyası oluşturulur ve yürütülür.
Aşağıdaki boşlukları kullanarak bu betik, %SystemRoot%\System32 gibi Windows Kullanıcı Hesabı Denetimini atlayabilen sahte güvenilir dizinler oluşturur. DBatLoader daha sonra kötü amaçlı bir netutils.dll DLL dosyasını yasal easinvoker.exe yürütülebilir dosyasıyla birlikte bu dizine kopyalar.
Ardından, kötü amaçlı netutils.dll dosyasının yüklenmesi sonucunda easinvoker.exe tarafından KDECO.bat adlı kötü amaçlı bir komut dosyası yürütülür.
Algılamayı önlemek için KDECO.bat, C:/Users dizinini Microsoft Defender taramalarının dışında bırakır. Gözlemlenen Remcos konfigürasyonları, konfigürasyonlar açısından çeşitliydi. Aşağıdaki etkinlikler genellikle bu yapılandırmalar tarafından gerçekleştirilir: –
- Keylogging
- Ekran görüntüsü hırsızlığı
- C2 amaçları için Duckdns dinamik DNS etki alanları
öneriler
Kimlik avı saldırılarına karşı dikkatli olmak ve bilinmeyen kaynaklardan gelen ekleri açmaktan kaçınmak, dolandırılma riskini azaltmanın en iyi yoludur.
Bunun dışında güvenlik araştırmacılarının yöneticiler için sunduğu önerilere aşağıda değindik:-
- Genel Bulut örneklerini kötü amaçlı ağ isteklerinden koruma konusunda dikkatli olduğunuzdan emin olun.
- “%Public%\Library” dizinini, özellikle “\Windows \” yolu olmak üzere dosya sistemi yollarında sondaki boşlukları içeren şüpheli dosya oluşumları ve işlem yürütmeleri açısından inceleyin.
- Windows UAC’yi her zaman bildirecek şekilde yapılandırmanız önemle tavsiye edilir, böylece bir program bilgisayarınızda değişiklik yapmaya çalıştığında size bildirilir.