Seqrite Labs, VBScript kodlu (.VBE) dosyaları aracılığıyla dağıtılan MassLogger kimlik silmenin kötü amaçlı yazılımlarının sofistike bir varyantını ortaya çıkardı.
Muhtemelen spam e-postaları veya sürücü by indirmeler yoluyla yayılan bu gelişmiş tehdit, çok aşamalı bir defendelessiz kötü amaçlı yazılım olarak çalışır ve Windows kayıt defterini diske dosya yazmadan kötü amaçlı yükünü depolamak ve yürütmek için ağır bir şekilde yararlanır.
Seqrite blog raporuna göre, bu kaçak teknik, geleneksel antivirüs ve imza tabanlı algılama yöntemleri için önemli bir zorluk oluşturmaktadır, bu da etkili bir şekilde mücadele etmek için ileri davranış izleme ve kayıt defteri anomali tespiti gerektirir.
.png
)
Sofistike Filless Saldırı
Enfeksiyon zinciri, bir kez kod çözüldüğünde, gerçek işlevselliğini gizlemek için tasarlanmış gizleme ve modüler rutin katmanlarını ortaya çıkaran bir .vBe dosyasıyla başlar.
Yürütme üzerine komut dosyası, “HKCU \ yazılımı” yolu altındaki kayıt defterinde karmaşık bir ortam oluşturur ve bazıları yükünün dağıtımına hazırlanmak için çalışma zamanına kadar kodlanmış olan birden fazla sert kodlu anahtar ve değer yazar.
Kötü amaçlı yazılımlar, AKAAU () ve XSSay () gibi alt rutinler aracılığıyla kayıt defteri girişlerinin hazırlanmasıyla başlayarak, son Masslogger yükünü sertlikli kalıcılık için segmentli kayıt yolları boyunca 25.000 karakterlik parçalara ayıran, kayıt defteri girişlerinin hazırlanmasıyla başlayarak titizlikle hazırlanmış bir çok aşamalı işlemle ortaya çıkıyor.
Enfeksiyon tarihinden itibaren her dakika tetikleyecek şekilde, bellek içi yük yükleme için PowerShell’e kullanıcı girdisini simüle eden bir .vbs komut dosyası yürüterek bir kayıt defteri anahtarından (ESBBIGYFLZCXJUL) adlandırılan Windows planlı bir görev kullanarak kalıcılık oluşturur.
Veri Sunum Taktikleri
Kötü amaçlı yazılım iki stager dağıtır: Stager-1, kayıt defterinden alınan küçük bir .NET yürütülebilir (~ 14kb), daha sonra son yükü çıkarır ve işlemi boşaltma yoluyla “addinprocess32.exe” gibi bir hedef sürece enjekte eder.
Özellikle, kötü amaçlı yazılım, yüklü antivirüs araçlarını tespit etmek için güvenlik ile ilgili kayıt defteri anahtarlarını sorgulayarak, birden fazla koruma varsa yürütmeyi durdurarak sistem koruma durumunu kontrol eder.
Ayrıca, sabit kodlu bir URL’den (şimdi erişilemeyen) Fransız sistemleri için ek yükler indirmeye çalışan coğrafi hedefli davranış sergiliyor.
Son MassLogger yükü, FTP, SMTP veya telgraf bot API kanalları aracılığıyla çalınan bilgileri eksfiltrat etmeden önce, Chrome ve e-posta istemcileri gibi tarayıcılardan kimlik bilgilerini hedefler, kullanıcı etkinliğini, sert kodlanmış kimlik bilgileri veya yapılandırılmış e-posta ekleri kullanılarak FTP, SMTP veya Telegram bot API kanalları aracılığıyla eksfiltrat etmeden önce kullanıcı etkinliğini hedefler.
Yaşam döngüsünün sonunda, aktivitesinin izlerini silmek için Conhost.exe ve PowerShell.exe gibi süreçleri sonlandırır.
Bu sözlü olmayan yaklaşım ve çok aşamalı icra, kimlik bilgisi stealer’ların gelişen sofistike olmasının altını çizerek savunucuları bu tür tehditleri azaltmak için dinamik, davranış temelli tespit stratejileri benimsemeye çağırıyor.
Uzlaşma Göstergeleri (IOC)
| Bileşen | MD5 karma |
|---|---|
| .Vbe dosyası | 29DBD06402D208E5BAE1FB7BA78AD7A |
| .Vbs dosyası | F3 |
| Stager-1 | 2F1E771264FC0A782B8AB63EF3E74623 |
| Stager-2 | 37F0B34C8086282752AF5E70F57D34C |
| Masslogger yükü | 1e11b72218448ef5f3fca3c5312d70db |
| Url | hxxps: //144.91.92.251/modi.txt |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin