Geleneksel olarak Nitol gibi kötü amaçlı yazılımlarla DDoS saldırıları için kullanılan botnet’ler, artık veri sızdırma ve ek kötü amaçlı yazılım yükleme kapasitesine sahip kötü amaçlı yazılımlarla oluşturuluyor; bu, NiceRAT kötü amaçlı yazılımının 2019’dan bu yana aktif olan popüler bir botnet aracılığıyla kurulduğunun keşfedilmesiyle doğrulandı.
Yeni oluşturulan botnet’ler, yeteneklerini geleneksel DDoS saldırılarının ötesine taşımak için NanoCore ve Emotet gibi kötü amaçlı yazılımlardan yararlanıyor.
Saldırganlar, genellikle yerel dosya paylaşım sitelerinde veya bloglarda bulunan botnet’ler oluşturmak için oyun içermeyen sunucular veya Windows kimlik doğrulama araçları gibi meşru yazılım görünümüne sahip kötü amaçlı yazılımlar dağıtır.
Kötü amaçlı yazılım yürütüldükten sonra kendisinin bir kopyasını oluşturur ve kullanıcıları, saldırganların cihazlarını uzaktan kontrol etmelerine olanak tanıyan kötü amaçlı yazılım yüklemeye kandırarak virüslü makinede kalıcılığı sağlamak için görev programlarını kaydeder.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
AhnLab, uzun bir süre sonra bile ek kötü amaçlı yazılım dağıtan bir botnet tespit etti.
Esas olarak NanoCore kötü amaçlı yazılımlarından oluşan botnet, makinelere bulaşıyor ve bunları, yakın zamanda keşfedilen NiceRAT ve ilk kez 2019’da görülen eski Nitol kötü amaçlı yazılımı da dahil olmak üzere yeni kötü amaçlı yazılımları indirmek ve yüklemek için kullanıyor.
.webp)
Davranış, C&C sunucusu engellendikten sonra indirme işlevinin sıklıkla durduğu geleneksel kötü amaçlı yazılım indiricilerinden farklıdır; bu, botnet’lerin oluşturduğu kalıcı tehdidi ve bu tür saldırıları tespit edip engelleyebilecek gelişmiş güvenlik çözümlerine olan ihtiyacı vurgulamaktadır.
.webp)
Python tabanlı bir RAT olan NiceRAT, kripto para birimi ayrıntıları da dahil olmak üzere sistem ve tarayıcı bilgilerini toplayıp saldırgana sızdırarak analizden kaçmak için hata ayıklamayı önleme ve sanal makine algılamayı kullanır.
.webp)
Kötü amaçlı yazılım, Discord’u bir C&C sunucusu olarak kullanıyor, web kancaları aracılığıyla iletişim kuruyor, kripto para birimi cüzdanlarını hedefliyor ve yetkisiz erişim için kullanıcı bilgilerini çalıyor.
Son olarak çalınan veriler saldırganın sunucusuna yüklenir.
Saldırganlar, genellikle antivirüs yazılımını kurulum sırasında devre dışı bırakmaları talimatını vererek antivirüsü atlayan ve yeni kötü amaçlı yazılımları kolayca dağıtmak için kullanılabilecek botnet’ler oluşturmalarına olanak tanıyan, kullanıcı tarafından paylaşılan çatlaklardan yararlanıyor.
Çatlakların kendisi, yazılım etkinleştirme araçları olarak gizlenen kötü amaçlı yazılımlardır ve bilgi paylaşımı yoluyla yayıldıkları için, ilk kaynağa kadar takip edilmeleri zordur, bu da saldırganların gelecekteki kötü amaçlı yazılım dağıtımı için kalıcı botnet’ler oluşturmasına olanak tanır.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo