Kötü niyetli kişilerin, CVE-2017-11882 XLAM’den etkilenen sürümleri kullanan Microsoft Office kullanıcılarını hedeflemek için Agent Tesla adlı bir kötü amaçlı yazılım kullandığı bildirildi.
Bu kötü amaçlı yazılım, Microsoft Office’te bulunan ve CVE-2017-11882 olarak bilinen Denklem Düzenleyicisi’ndeki uzaktan kod yürütme güvenlik açığından yararlanıyor.
Uzaktan kod yürütme (RCE), bir saldırganın kullanıcı verilerine ihtiyaç duymadan kötü amaçlı kod yürütmek için uzaktaki bir bilgisayarı veya ağı kullandığı bir tür siber saldırıdır.
Bir kod yürütme güvenlik açığı aracılığıyla, bilgisayar korsanlarının fiziksel ağ erişimine gerek kalmadan hassas bilgilere uzaktan erişilebilir.
Kötü amaçlı ekler içeren spam e-postalara karşı dikkatli olmak önemlidir. Bilgisayar korsanları genellikle bu tekniği kullanıcının cihazına zararlı programlar yerleştirmek için kullanır.
Kullanıcı eki indirip açtığında, kötü amaçlı program etkinleştirilir ve potansiyel olarak cihaza zarar verir ve hassas bilgileri tehlikeye atar.
Zscaler raporuna göre, bir kullanıcı Microsoft Excel’in güvenlik açığı bulunan bir sürümündeki kötü amaçlı bir eki indirip görüntülerse, Excel dosyası, kullanıcının başka bir işlem yapmasına gerek kalmadan negatif bir konuma bağlanacak ve diğer dosyaları indirmeye başlayacak.
VBS dosyasındaki değişken adları 100 karakter uzunluğundadır ve bu da kod çözme ve analiz sürecini karmaşık hale getirir. JPG dosyası kötü amaçlı Base64 kodlu bir DLL içeriyor.
JPG dosyası indirildikten sonra VBS dosyası bir PowerShell yürütülebilir dosyasının yürütülmesini başlatır. Bu yürütülebilir dosya daha sonra görüntü dosyasından Base64 kodlu formdaki bir DLL dosyasını alır. Daha sonra DLL’nin kodu çözülür ve kötü amaçlı prosedürleri yüklenir.
PowerShell, kayıt defterini okumak ve yazmak için ana işlemi gerçekleştirir. Bundan sonra DLL, ana işleve, Ajan Tesla yükünü alan bir iş parçacığı enjekte eder.
Ajan Tesla, kullanıcının yazdığı her tuş vuruşunu izlemek ve kaydetmek ve kullanıcının kopyalanan bilgilerinden veri toplamak için hem panoya hem de klavyeye kancalar kurmaya çalışır.
Ajan Tesla, kullanıcıların tuş vuruşlarını, fare hareketlerini ve olay mesajlarını izlemek için pencere kancası olarak bilinen bir teknik kullanıyor. Kötü niyetli aktörün işlevi, kullanıcı tepki veremeden sona erer.
Bir Telegram botu, virüsten sızdırılan verileri alan tehdit aktörünü kontrol eder. Bilgilerimizi korumak için siber tehditler konusunda kendimizi bilgilendirmeli ve güncel kalmalıyız.