Bilgisayar korsanları CHM dosyalarını kötüye kullanır çünkü bunların içine kötü amaçlı komut dosyaları veya kodlar yerleştirebilirler. Windows sistemleri genellikle bu dosyalara güvenir ve pek çok güvenlik kontrolü olmadan çalıştırır.
CHM dosyası açıldığında, tehdit aktörlerinin kötü amaçlı yazılım dağıtmasına, rastgele komutlar yürütmesine ve kurbanın bilgisayarına yetkisiz erişim sağlamasına olanak tanır.
Securonix’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının, şifre korumalı Zip dosyalarına sahip kullanıcılara saldırmak için CHM dosyalarından aktif olarak yararlandığını tespit etti.
Hackerlar CHM Dosyalarından Yararlanıyor
Securonix tarafından takip edilen PHANTOM#SPIKE kampanyasının, basit bir RAT dağıtmak için askeri temalı kimlik avı belgeleri kullandığı ortaya çıktı.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Yük dağıtımı için tehdit aktörleri parola korumalı ZIP arşivlerinden ve CHM dosyalarından yararlanıyor.
Kampanya büyük ihtimalle siyasi amaçlıdır ve bu kampanya öncelikli olarak Pakistan bağlantılı mağdurları hedef almakta ve bazı yükler Batılı ülkeleri de kapsamaktadır.
Bu yaklaşım, savunmaları atlatmak için güvenilir dosya formatlarından yararlanıyor ve siber saldırılarda endişe verici bir eğilimin altını çiziyor.
Kimlik avı kampanyası, zararlı bir CHM dosyası ve gizli EXE sunmak için yanıltıcı görünüme sahip bir arşiv dosyası yapısı kullanıyor.
Askeri forum toplantı tutanakları gibi görünen bu özel CHM dosyası, kullanıcı etkileşimi üzerine gizli EXE’nin yürütülmesine neden olacak javascript’in yanında gömülü resimler içerir.
.webp)
Bu yaklaşım daha önce, CHM formatının HTML sayfalarında gizli komut dosyası çalıştırmak için kullanıldığı Ukrayna hedefli kampanyalarda görülmüştü.
Kötü amaçlı bir CHM dosyası, meşru görünmek için aldatıcı bir HTML yapısı ve gömülü resimler kullanır.
Kullanıcı belgede herhangi bir yeri tıklattığında gizli bir yürütülebilir dosya olan “RuntimeIndexer.exe”yi çalıştırmak için bir kısayol oluşturan belirli bir classid ve PARAM etiketlerine sahip bir OBJECT etiketi içerir.
CSharp tarafından yazılan bu küçük veri, bir arka kapı görevi görerek, virüs bulaşmış sistemde uzaktan komut yürütmek için bir C2 sunucusuna bağlanıyor.
Aşağıda kodun tüm temel bileşenlerinden ve işlevlerinden bahsettik: –
- Ağ iletişimi ve veri iletimi
- Komut yürütme
- Asenkron ve gizli yürütme
- Kullanım sonrası
Bu saldırı, karmaşık çok aşamalı diziler yerine basit yükler kullandığı için basitliği ve modülerliğiyle öne çıkıyor.
Bu yaklaşım, STEEP#MAVERICK veya STARK#VORTEX gibi daha karmaşık kampanyaların aksine, saldırı yüzeyini en aza indirir.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- İstenmeyen dosyaları harici kaynaklardan indirmekten kaçının.
- Çalıştırmadan önce dosya uzantılarını doğrulayın.
- Özellikle komut dosyası etkinliği için yaygın kötü amaçlı yazılım hazırlama dizinlerini izleyin.
- Sysmon ve PowerShell günlük kaydı da dahil olmak üzere güçlü uç nokta günlük kaydı yeteneklerini dağıtın.
- Kötü amaçlı etkinlikleri gizleyebilecek 443 numaralı bağlantı noktası üzerinden şifrelenmiş trafiğe karşı dikkatli olun.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free