Bilgisayar Korsanları Silah Haline Getirilmiş PDF Dosyalarını Kullanarak STRRAT Kötü Amaçlı Yazılım Dağıtıyor

   Ağustos 5, 2023  Posted in GBHackers


Tarayıcılardan ve e-posta istemcilerinden tuş kaydı ve kimlik bilgisi hırsızlığı yapabilen çok yönlü, Java tabanlı bir RAT, 2020’de ortaya çıktı ve “STRRAT” olarak adlandırıldı.

STRRAT’ın en son güncellenmiş sürümü önemli ölçüde gelişti ve keşfedildiğinden beri şu anda aşağıdakileri yaptığı gözlemlendi:-

  • “Crimson” Ransomware modülünü içerir.
  • Çok sayıda enfeksiyon zinciri dağıtır.

Cyble Research And Intelligence Labs’deki (CRIL) siber güvenlik araştırmacıları tarafından yakın zamanda STRRAT’ı (sürüm 1.6) dağıtmak için iki dizi gizleme yöntemini içeren yeni bir teknik tanımlandı.

Kötü amaçlı yazılım enfeksiyon zinciri

Elektronik bir şirket gibi görünen bir spam e-posta ile bulaşma zinciri başlar ve burada e-posta, hedefe gönderilen bir PDF fatura ekini içerir.

Enfeksiyon zinciri (Kaynak – Cyble)

Ekli PDF açıldığında, kullanıcıdan üzerine tıklamasını isteyen bir indirme görüntüsü görüntüler ve bu da aşağıdaki URL’den “Invo-0728403.zip” dosyasının indirilmesini başlatır: –

  • hxxps://tatchumbemerchants[.]co.ke/Invo-0728403[.]zip
Kötü amaçlı PDF eki (Kaynak – Cyble)

İndirilen Zip, JavaScript’te şifrelenmiş STRRAT yükünü tutar. Yürütme üzerine JS, “lypbtrtr.txt” dosyasını aşağıdaki dizine yerleştirerek yükün şifresini çözer: –

Dosya türü kontrolü, “carLambo” klasörünü ve META-INF’yi sınıflar, kaynaklar ve MANIFEST.MF ile ayıklayan gizlenmiş bir JAR (zip) dosyasını ortaya çıkarır ve bunun “STRRAT kötü amaçlı yazılım” olduğundan emin olur.

JAR dosyasının içeriği (Kaynak – Cyble)

STRRAT kötü amaçlı yazılımının en son varyantının analizi, yalnızca “Allatori” kullanan önceki sürümün aksine, sınıf adı değişikliklerini ve iki dize karartıcının (Allatori, ZKM) kullanıldığını gösteriyor.

Dağıtım ve Kalıcılık

Mart 2023’ten bu yana, STRRAT kötü amaçlı yazılımı (sürüm 1.6), birden çok bulaşma zinciri aracılığıyla aktif olarak dağıtılmaktadır ve yalnızca vahşi ortamda 70’ten fazla örnek tespit edilmemiştir.

Kalıcılık için, “Skype” görev zamanlayıcı girişini ayarlar ve önceki sürümlerde olduğu gibi STRRAT 1.6, C&C sunucu bilgilerini AES şifrelemeli şifreli bir Base64 kodlu config.txt dosyasında depolar.

Aşağıda, hedeflenen tarayıcılardan bahsetmiştik: –

  • Krom
  • Firefox
  • internet gezgini

Aşağıda, hedeflenen e-posta istemcilerinden bahsetmiştik: –

  • Görünüm
  • yıldırım kuşu
  • Tilki postası

öneriler

Aşağıda, güvenlik analistleri tarafından sunulan tüm önerilerden bahsetmiştik: –

  • Her zaman güçlü e-posta filtresi çözümleri kullanın.
  • Bağlantıları ve ekleri açmadan önce doğruladığınızdan emin olun.
  • Daima sağlam uç nokta güvenlik çözümleri kullanın.
  • Güvenlik araçlarını mevcut en son yamalar ve güncellemelerle güncel tutun.
  • Kötü amaçlı siteleri engellemek için URL filtreleme uygulayın.
  • Düzenli olarak çalışanlara siber güvenlik eğitimi verin.

IoC’ler

IoC’ler (Kaynak – Cyble)



Source link