Araştırmacılar, belirli kişileri hedef alan ve kişisel veri sızıntısıyla ilgili bilgi olarak gizlenen kötü amaçlı bir exe dosyasının yayıldığını keşfetti.
Kötü amaçlı yazılım, bir arka kapı işlevi görerek, tehdit aktöründen aldıktan sonra XML biçimindeki karmaşık komutları yürütür.
Bu kötü amaçlı yazılım belirli hedeflere odaklandığından, kullanıcıların bilinmeyen gönderenlerden gelen e-postalardaki ekleri açmaktan kaçınması gerekir.
Word Dosyası Gibi Gizlenmiş Kötü Amaçlı Exe Dosyası
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne (ASEC) göre, bir siber soruşturma ekibinden geldiği iddia edilen bir e-posta gönderildi. Ayrıca virüs bulaşan exe dosyasının bir Word belgesi olduğu iddia edildi.
“Kötü amaçlı exe dosyası çalıştırıldığında .data bölümündeki dosyalar %Programdata% klasöründe oluşturulur. ASEC, Cyber Security News ile paylaşılan bir raporda, oluşturulan dosyalardan meşru belge dosyası dışındaki tüm dosyaların gizlendiğini söyledi.
Meşru belge dosyası dışında, oluşturulan her dosya aşağıda belirtildiği gibi gizlenir:
- Lomd02.png (Kötü amaçlı jse betiği)
- Operator.jse (Kötü amaçlı jse betiği)
- WindowsHotfixUpdate.jse (Kötü amaçlı jse betiği)
- 20231126_9680259278.doc (Yasal belge dosyası)
- WindowsHotfixUpdate.ps1 (Kötü Amaçlı PowerShell betiği)
Araştırmacılar, yeni oluşturulan dosyalar arasında ‘20231126_9680259278.doc’ adlı geçerli bir belge dosyasının da bulunduğunu söyledi. Bu büyük ihtimalle tehdit aktörü tarafından, kullanıcıyı meşru bir dosya açtığını düşünmesi için kandırmak amacıyla eklenmiştir.
Bu durumda C2 kapatıldığı için kötü amaçlı yazılımın nihai eylemi görünmüyordu; ancak araştırmacılar, bu sistemin tehdit aktöründen gizlenmiş komutlar alarak ve bunları XML formatında yürüterek bir arka kapı görevi gördüğünü söylüyor.
Bu senaryoda, yem dosyası aynı anda yürütüldüğü için normal kullanıcılar bilgisayarlarına kötü amaçlı yazılım bulaştığını tespit edemezler.
Bu nedenle, kişiler kimliği belirsiz kaynaklardan aldıkları e-postaların eklerini açmaktan kaçınmalıdır; çünkü bu kötü amaçlı dosyalar bireysel kişileri hedef alır.