Bilgisayar Korsanları Kötü Amaçlı Yazılım Dağıtımı İçin Veri Sızıntısı Mesajıyla Kullanıcıları Kandırıyor

   Aralık 11, 2023  Posted in GBHackers


Araştırmacılar, belirli kişileri hedef alan ve kişisel veri sızıntısıyla ilgili bilgi olarak gizlenen kötü amaçlı bir exe dosyasının yayıldığını keşfetti.

Kötü amaçlı yazılım, bir arka kapı işlevi görerek, tehdit aktöründen aldıktan sonra XML biçimindeki karmaşık komutları yürütür.

Bu kötü amaçlı yazılım belirli hedeflere odaklandığından, kullanıcıların bilinmeyen gönderenlerden gelen e-postalardaki ekleri açmaktan kaçınması gerekir.

Word Dosyası Gibi Gizlenmiş Kötü Amaçlı Exe Dosyası

AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne (ASEC) göre, bir siber soruşturma ekibinden geldiği iddia edilen bir e-posta gönderildi. Ayrıca virüs bulaşan exe dosyasının bir Word belgesi olduğu iddia edildi.

https://i0.wp.com/asec.ahnlab.com/wp-content/uploads/2023/12/image-31.png?resize=1024%2C619&ssl=1
Siber soruşturma ekibinin kimliğine bürünen bir e-posta

“Kötü amaçlı exe dosyası çalıştırıldığında .data bölümündeki dosyalar %Programdata% klasöründe oluşturulur. ASEC, Cyber ​​Security News ile paylaşılan bir raporda, oluşturulan dosyalardan meşru belge dosyası dışındaki tüm dosyaların gizlendiğini söyledi.

https://i0.wp.com/asec.ahnlab.com/wp-content/uploads/2023/12/image-16.png?resize=1024%2C530&ssl=1
Word dosyası gibi görünen kötü amaçlı exe dosyası

Meşru belge dosyası dışında, oluşturulan her dosya aşağıda belirtildiği gibi gizlenir:

  • Lomd02.png (Kötü amaçlı jse betiği)
  • Operator.jse (Kötü amaçlı jse betiği)
  • WindowsHotfixUpdate.jse (Kötü amaçlı jse betiği)
  • 20231126_9680259278.doc (Yasal belge dosyası)
  • WindowsHotfixUpdate.ps1 (Kötü Amaçlı PowerShell betiği)

Araştırmacılar, yeni oluşturulan dosyalar arasında ‘20231126_9680259278.doc’ adlı geçerli bir belge dosyasının da bulunduğunu söyledi. Bu büyük ihtimalle tehdit aktörü tarafından, kullanıcıyı meşru bir dosya açtığını düşünmesi için kandırmak amacıyla eklenmiştir.

Bu durumda C2 kapatıldığı için kötü amaçlı yazılımın nihai eylemi görünmüyordu; ancak araştırmacılar, bu sistemin tehdit aktöründen gizlenmiş komutlar alarak ve bunları XML formatında yürüterek bir arka kapı görevi gördüğünü söylüyor.

Bu senaryoda, yem dosyası aynı anda yürütüldüğü için normal kullanıcılar bilgisayarlarına kötü amaçlı yazılım bulaştığını tespit edemezler.

Bu nedenle, kişiler kimliği belirsiz kaynaklardan aldıkları e-postaların eklerini açmaktan kaçınmalıdır; çünkü bu kötü amaçlı dosyalar bireysel kişileri hedef alır.



Source link