Siber Suçlar, Uç Nokta Güvenliği, Dolandırıcılık Yönetimi ve Siber Suçlar
Yeni Kampanya, Ajan Tesla Keylogger ve XWorm RAT'ı Sunmak İçin Güvenlik Araçlarından Kaçınıyor
Prajeet Nair (@prajeetspeaks) •
13 Mart 2024
Tehdit aktörleri, tespit edilmekten kaçınmak ve fidye yazılımı sunmak, bir bankacılık Truva Atı indirmek ve kötü amaçlı yazılım dağıtmak için kötü amaçlı yazılımları SVG görüntü dosyalarında saklıyor.
Ayrıca bakınız: Hızlı Dijitalleşme ve Risk: Yuvarlak Masa Önizlemesi
Cofense Intelligence araştırmacıları Ocak ayında, Agent Tesla Keylogger ve XWorm RAT kötü amaçlı yazılımlarını dağıtmak için SVG dosyalarını kullanan iki aylık bir kampanya gözlemledi. Araştırmacılar, güvenlik ekiplerine, kullanıcılara bir SVG dosyasını açtıklarında beklenmedik indirmelere dikkat etmelerini hatırlatmalarını tavsiye ediyor; bu, bir tehlikenin işaretidir.
Ölçeklenebilir Vektör Grafiği dosya formatı, görüntüleri tanımlamak için matematiksel denklemler kullanır; bu da görüntülerin görüntü kalitesinde kayıp olmadan ölçeklendirilmesini sağlar ve onları çeşitli tasarım uygulamalarına uygun hale getirir.
Mayıs 2022'de kullanıma sunulan açık kaynaklı bir araç olan AutoSmuggle, tehdit aktörlerinin, güvenli e-posta ağ geçitleri gibi güvenlik önlemlerini atlayarak ve başarılı kötü amaçlı yazılım dağıtım şansını artırarak SVG veya HTML içeriğine kötü amaçlı dosyalar yerleştirmesine olanak tanır.
SVG dosyalarının kötü amaçlı yazılım dağıtımı için kullanıldığı ilk kez 2015 yılında gözlemlendi ancak araştırmacılar, bilgisayar korsanlarının güvenlik önlemlerini atlatmak ve zararlı verileri başarıyla dağıtmak için taktiklerini geliştirdiklerini söyledi. SVG dosyaları 2017'de Ursnif kötü amaçlı yazılımını dağıttı ve kaçakçılık yapmak için kullanıldı .zip QakBot kötü amaçlı yazılım 2022 içeren arşivler.
Aralık 2023 ve Ocak 2024'teki Agent Tesla Keylogger kampanyalarında e-postalar, açıldığında gömülü olarak teslim edilen ekli SVG dosyalarını içeriyordu. .zip arşivler. Bu arşivler, Ajan Tesla Keylogger'ın yürütülmesiyle sonuçlanan bir dizi veri indirme işlemini başlattı. Tehdit aktörleri, yanıltıcı yeteneklerini geliştirmek için AutoSmuggle tarafından oluşturulan SVG dosyalarını değiştirdi.
XWorm RAT kampanyaları farklı enfeksiyon zincirlerine sahipti. Bazıları SVG dosyalarına yönlendiren gömülü bağlantıları kullandı, bazıları ise doğrudan ekli SVG dosyalarını kullandı.
Bu dosyalar indirilmeyi başlattı .zip XWorm RAT'ı yürütmek için gereken yükleri içeren arşivler. Bu kampanyalarda kullanılan SVG dosyaları, Agent Tesla Keylogger kampanyalarında gözlemlenen karmaşıklıktan yoksundu ve açıldığında boş sayfalar içeriyordu.
Araştırmacılar, SVG tabanlı kötü amaçlı yazılım tehditlerine karşı güçlü azaltma stratejileri önermektedir. Dosya uzantılarına dayanan geleneksel savunmalar, gelişen kötü amaçlı yazılım taktikleri karşısında yetersiz kalıyor.