Siber suçlular artık güvenlik sistemleri tarafından tespit edilmekten kaçınırken tehlikeli kötü amaçlı yazılımları yaymak için uzaktan izleme ve yönetim araçlarından yararlanıyor.
Saldırı kampanyası, sahte web sitelerinden Notepad++, 7-Zip veya ChatGPT gibi popüler görünen yazılımları indiren kullanıcıları hedefliyor.
Kurbanlar, gerçek programı almak yerine farkında olmadan bilgisayar korsanlarına bilgisayarları üzerinde tam kontrol sağlayan LogMeIn Resolve veya PDQ Connect’i yüklüyor.
Saldırı, kullanıcılar güvenilir yardımcı programların resmi indirme sayfaları gibi görünen web sitelerini ziyaret ettiğinde başlıyor.
Bu sahte sayfalar, notepad++.exe, 7-zip.exe, winrar.exe ve hatta chatgpt.exe gibi programlar için indirme olanağı sunar.
.webp)
Birisi indirme düğmesine tıkladığında LogMeIn Resolve’un doğrudan saldırganın komut sunucusuna bağlanan değiştirilmiş bir sürümünü alıyor.
Kötü amaçlı yükleyici dosyalarının, kullanıcıları yasal olduklarını düşünmeleri için kandırmak amacıyla Microsoft.exe, OpenAI.exe ve windows12_installer.exe gibi adlar kullanıldığı bulundu.
ASEC güvenlik araştırmacıları, Kore’de RMM araçlarını içeren olağandışı etkinlikleri araştırdıktan sonra bu kampanyayı belirlediler.
Saldırıların arkasında, her biri LogMeIn yapılandırma dosyalarına yerleştirilmiş benzersiz şirket kimlik numaralarını kullanan üç farklı tehdit aktörünün olduğunu keşfettiler.
Araştırmacılar, 8347338797131280000, 1995653637248070000 ve 4586548334491120000 şirket kimliklerinin virüslü sistemleri kontrol etmek için kullanıldığını buldu.
Sahte LogMeIn veya PDQ Connect yazılımı yüklendikten sonra bilgisayar korsanları, ek kötü amaçlı yazılım indirmek için PowerShell komutlarını uzaktan çalıştırabilir.
Saldırganlar bu araçları kurban bilgisayarlara PatoRAT adı verilen bir arka kapı açmak için kullanıyor. Delphi’de geliştirilen bu kötü amaçlı yazılım, kodunda Portekizce dil dizeleri içeriyor ve bu da geliştiricilerin Portekizce konuşulan bölgelerden olabileceğini gösteriyor.
Kötü Amaçlı Yazılım Kontrolü Nasıl Ele Geçirir?
PatoRAT, komuta ve kontrol sunucularına bağlantı kurarak ve virüs bulaşan bilgisayar hakkında ayrıntılı bilgiler göndererek çalışır.
Kötü amaçlı yazılım bilgisayar adını, kullanıcı adını, işletim sistemi ayrıntılarını, bellek kullanımını, ekran çözünürlüğünü ve etkin pencereleri toplar.
Bu veriler, 0xAA anahtarıyla basit bir XOR şifresi kullanılarak şifrelenir ve “APPCONFIG” altındaki kaynak bölümünde saklanır.
Arka kapı, fare kontrolü, ekran yakalama, tuş kaydetme, tarayıcı şifrelerini çalma ve hatta bağlantı noktası yönlendirme araçlarını yükleme gibi tehlikeli işlevleri destekler.
Güvenlik ekipleri, bu saldırıları önlemek için yalnızca resmi web sitelerinden yazılım indirilmesini, dijital sertifikaların kontrol edilmesini ve antivirüs programlarının güncel tutulmasını öneriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
