Bilgisayar Korsanları Qakbot Kötü Amaçlı Yazılım Sunmak İçin Silahlandırılmış PDF Dosyaları Kullanıyor


Qakbot, öncelikle finansal kurumları hedef alan gelişmiş bir bankacılık truva atı ve kötü amaçlı yazılımdır. Bu gelişmiş kötü amaçlı yazılım, aşağıdakiler gibi hassas bilgileri çalar: –

  • Giriş kimlik
  • Finansal Veri

Bilgisayar korsanları Qakbot’u kullanarak şunları gerçekleştirirken: –

  • Finansal dolandırıcılık
  • Yetkisiz işlemler
  • Kişisel verilere erişim kazanın
  • Finansal bilgilere erişim kazanın

Qakbot kötü amaçlı yazılımı “Ördek Avı” baskınından sonra geri dönüyor. Sadece bu da değil, Microsoft bile 11 Aralık 2023’ten bu yana konaklama sektörünü hedef alan küçük ölçekli kimlik avı saldırıları tespit etti.

Microsoft, Qakbot'un yeniden ortaya çıktığını keşfetti (Kaynak - K7)
Microsoft, Qakbot’un yeniden ortaya çıktığını keşfetti (Kaynak – K7)

Tüm bu kimlik avı e-postalarının sayısı şu anda düşük olmasına rağmen, K7 Güvenlik Laboratuvarları’ndaki araştırmacılar, Qakbot’un geçmişi nedeniyle e-posta hacminde bir artış beklendiğini doğruladı.

K7 Güvenlik Laboratuarlarındaki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının Quakbot kötü amaçlı yazılımlarını yaymak için silah haline getirilmiş PDF dosyalarını kullandığını keşfetti.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.

Qakbot Kötü Amaçlı Yazılım Sağlayacak PDF Dosyaları

Yakın zamanda yapılan bir kimlik avı kampanyasında araştırmacılar, tehdit aktörlerinin PDF’ler aracılığıyla aktif olarak kötü amaçlı MSI dosyaları dağıttığını tespit etti. Ayrıca analiz, özel bir paketleyici kullandığı tespit edilen Qakbot’u barındıran yamalı bir IDM DLL’yi ortaya çıkarıyor.

Bunun yanı sıra, Qakbot DLL paketinin açılması aşağıdaki konularda kesme noktaları içerir: –

  • VirtualAlloc()
  • VirtualProtect()

Başlangıçta uzmanlar dökümü MZ başlığı olmadan elde etti ve daha sonra başlığı manuel olarak ekleyerek bunun Qakbot’un ikinci aşama yükleyicisi olduğunu belirlediler. Bu teknik, tehdit aktörlerinin MZ başlık taramalarından kaçınarak EDR tespitinden kaçınmasına yardımcı olur.

Yürütme Akışı (Kaynak - K7)
Yürütme Akışı (Kaynak – K7)

Yeni Qakbot kampanyasında güvenlik araştırmacıları, kurban bilgilerinin depolanması için AES şifrelemesinin bulunduğunu, ancak son yükün RC4 şifrelemesini koruduğunu belirtti. Dinamik analiz, rundll32.exe’yi çağıran, MSI tarafından yüklenen bir geçici dosyayı gizlice ortaya çıkarır.

PDF’lerden yararlanan tehdit aktörü, DLL dosyasını AcrobatAC.dll olarak kendisi kopyalar ve ardından Qakbot’u EditOwnerInfo aracılığıyla çalıştırır.

Kötü amaçlı DLL, öldürme zincirinin bir parçası olarak wermgr.exe’yi (Windows Hata Yöneticisi) askıya alır. Bunun yanı sıra uzmanlar, PE dosyasını askıya alınmış wermgr.exe’den atarak Qakbot yükünü de çıkardı, bu da süreç boşaltmanın kullanıldığını ortaya koyuyor.

Qakbot, wermgr.exe gibi davranarak gizli bir C2 bağlantısı kurmaya çalışır, ancak analiz sırasında aktif olmayan C2, daha sonraki kötü niyetli eylemleri durdurur.

IoC’ler

IoC'ler (Kaynak - K7)
IoC’ler (Kaynak – K7)

Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini ücretsiz deneyin



Source link