Bilgisayar Korsanları Silahlı Ofis Belgelerini CHM ve LNK Dosyalarına Değiştiriyor


Kötü amaçlı yazılım dağıtım yöntemleri, siber tehdit ortamında önemli ölçüde değişti. Veri analizi, Microsoft Office belge dosyalarının artık kötü amaçlı yazılım yaymak için tercih edilen araç olmadığını gösteriyor.

ASEC raporuna göre siber suçlular alternatif dosya formatları ve kaçınma teknikleri gibi daha karmaşık ve anlaşılması zor yöntemler kullanıyor.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Yeni Trend

MS Office belge dosyaları, basit bilgi hırsızlarından karmaşık APT saldırılarına kadar kötü amaçlı yazılımları yaymak için uzun süredir kullanılıyor.

Ancak kötü amaçlı yazılımların yayılma biçiminde belirgin bir değişiklik var ve bu senaryoda MS Office ürünlerinin rolünü etkiliyor.

Geçmişte saldırganlar, kötü amaçlı URL’lerden daha fazla kötü amaçlı yazılım indirmek için Word ve Excel belgelerindeki makroları kullanıyordu.

Ancak bu yöntem, ZIP, R00, GZ ve RAR gibi formatlardaki sıkıştırılmış yürütülebilir dosyaların veya IMG gibi disk görüntü dosyalarının e-posta eki olarak kullanılmasına dönüştü.

Bu, daha az Word ve Excel dosyasının, gizli Office VBA makro kodu veya Excel 4.0 (XLM) makroları yoluyla kötü amaçlı yazılım içerdiği anlamına gelir.

1-1. CHM (Windows Yardım Dosyaları)

2022’nin ikinci çeyreğinde kötü amaçlı yazılım dağıtmak için Windows Yardım dosyalarının (*.chm) kullanımında büyük bir artış oldu.

Bu, kötü amaçlı yazılım dağıtımı için Word ve Excel dosyalarının kullanımının azalmasıyla aynı zamanda gerçekleşti.

Bu, saldırganların kullanıcıları hedeflemek için MS Office paketinin parçası olmayan farklı dosya formatlarını kullandığını gösteriyor.

Bu CHM dosyaları, kullanıcıların dikkatini çekmek için genellikle ‘COVID-19 Pozitif Test Sonuçları Bildirimi’ gibi akılda kalıcı adlara sahiptir.

1-2. LNK (Kısayol Dosyaları)

Kötü şöhretli Emotet kötü amaçlı yazılımı da 2022’nin ikinci çeyreğinde dağıtım yöntemini MS Office ürünlerinden LNK dosyalarına değiştirdi.

Emotet daha önce kötü amaçlı yazılım yaymak için VBA makro kodlarını ve Excel 4.0 (XLM) makrolarını kullanmıştı, dolayısıyla bu değişiklik kötü amaçlı yazılımdan koruma çözümleri açısından önemli.

Bu saldırıların arka planı, aynı saldırganın, kötü amaçlı CHM dağıtım sürecine benzer bir yol izleyerek MS Office’ten LNK dosyalarına geçiş yaptığını gösteriyor.

Kötü amaçlı yazılım dağıtmak için Word ve Excel dosyalarını kullanmanın siber suçlulara iki faydası var.

Statik analiz yoluyla belge düzenleme programlarındaki kötü amaçlı yazılımların tespit edilmesini zorlaştırır ve aynı zamanda kötü amaçlı yazılımın kendisinin tanımlanmasını da zorlaştırır.

Saldırganların kötü amaçlı veriler yüklediklerinde normal Windows işlemlerini kullanmaları ve herhangi bir dosya oluşturmadan kötü amaçlı yazılım çalıştırmaları, güvenlik önlemlerini zorlaştırmaktadır.

Microsoft’un 2021’in başlarında ve ortalarında Excel makrolarının varsayılan olarak devre dışı bırakılmasına ilişkin duyurusu nedeniyle, MS Office dosyaları kötü amaçlı yazılım dağıtmak için daha az kullanılıyor.

Sonuç olarak saldırganlar, kötü amaçlı yazılımdan koruma ürünleri tarafından tespit edilmekten kaçınmanın yeni yollarını aradılar.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link