Kötü amaçlı yazılım aktörleri, sahte yükleyicileri dağıtmak için YouTube ve sosyal medya gibi popüler platformlardan yararlanıyor. Saygın dosya barındırma hizmetleri, kötü amaçlı yazılım barındırmak ve algılamayı zorlaştırmak için kötüye kullanılıyor.
Parola koruması ve kodlama teknikleri, analizi daha da karmaşık hale getirir ve erken korumalı alan tespitinden kaçınır. Bir sistemin güvenliği ihlal edildiğinde kötü amaçlı yazılım, kimlik bilgileri depolama mekanizmalarından yararlanarak web tarayıcılarından hassas verileri çalabilir.
Bilgi hırsızları, indirme bağlantıları sahte web sitelerinde veya sosyal medya platformlarında bulunabilen sahte yazılım yükleyicileri gibi aldatıcı taktikler yoluyla dağıtılır.
Yaygın bir teknik, kötü niyetli aktörlerin video paylaşım platformlarında yararlı kılavuzlar gibi görünmesi ve kullanıcıları, sahte yükleyiciler için indirme sayfalarına yönlendiren açıklamalardaki veya yorumlardaki bağlantılara tıklamaları için kandırmasıdır.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Mediafire ve Mega.nz gibi dosya barındırma hizmetleri de indirme kaynağını gizlemek ve algılamayı zorlaştırmak için kullanılır. Bilgi hırsızları, kullanıcılar korsan yazılım aradığında arama motoru sonuçlarında görünerek, kırık yazılım görünümüne bürünebilir.
Yapılan bir analiz, bir saldırganın kötü amaçlı yazılım dağıtmak için OpenSea (bir NFT pazarı), SoundCloud (bir müzik paylaşım platformu) ve potansiyel olarak diğerleri gibi çeşitli platformlardan yararlandığını ortaya çıkardı.
Saldırganlar kısaltılmış bağlantılar (büyük olasılıkla kazıma ve analizden kaçınmak için) ve parola korumalı indirmeler (ilk korumalı alan analizini engellemek için) gibi teknikler kullandı.
Bir toplu iş dosyasının gizliliğinin kaldırılmasının ardından, bir AutoIt betiği oluşturuldu ve 900 megabayt boyutunda büyük bir yükleyicinin çalıştırılmasıyla tetiklendikten sonra çalıştırıldı.
Komut dosyası, dosyaları bıraktı, meşru ikili dosyalara kod enjekte etti ve komuta ve kontrol sunucularıyla iletişim kurmak için DGA’dan yararlanarak tarayıcı kimlik bilgilerini çaldı ve tespitten kaçma ve kalıcılığı sürdürme yeteneğini gösterdi.
Meşru uzak masaüstü yazılımı (rustdesk.exe) gibi görünen truva atı haline getirilmiş bir yükleyici, bilinen bir dosya barındırma sitesinden indirilir. Kullanıcı dosyayı bir parolayla açar ve yükleyiciyi çalıştırır.
Yükleyici, tespit edilmekten kaçınmak ve ek kötü amaçlı yazılımları bırakmak için meşru işlemlere (more.com, StrCmp.exe, SearchIndexer.exe ve explorer.exe) kötü amaçlı kod enjekte eder.
Ayrıca kalıcılığı sağlamak için otomatik çalıştırma kayıt defteri girişleri ve zamanlanmış görevler oluşturur ve daha fazla kötü amaçlı yazılım indirmek için C&C sunucusuyla iletişim kurar.
Trend Micro’ya göre kampanya, tespit edilmekten kaçınmak için çok çeşitli bilgi hırsızlarından (LUMMASTEALER, PRIVATELOADER, MARSSTEALER, AMADEY, PENGUISH, VIDAR) yararlanıyor.
Saldırganlar, korumalı alan analizini atlamak için büyük dosyalardan yararlanmak, içerik taramasını engellemek için yükleri parola korumalı ZIP arşivleriyle şifrelemek ve proaktif algılamayı engellemek için kötü amaçlı yazılımları yasal dosya paylaşım platformları ve kısaltılmış URL’ler aracılığıyla dağıtmak gibi çeşitli taktikler kullanır.
Gelişen sosyal mühendislik tehditleriyle ve DLL yükleme, süreç enjeksiyonu ve dosya gizleme gibi gelişmiş kaçınma taktikleriyle mücadele etmek için kuruluşların çok katmanlı bir savunma uygulaması gerekir.
Kimlik avı girişimlerini tanımak ve önlemek için kullanıcı eğitimini, ortaya çıkan tehditleri proaktif bir şekilde tanımlamak ve bunlara yanıt vermek için sürekli tehdit avcılığını ve uzman tehdit istihbaratı ve yönetilen güvenlik hizmetleri için bir MSSP’den yararlanmayı içerir.
Kuruluşlar, bu önlemleri proaktif izleme ve gelişmiş tespit yetenekleriyle birleştirerek güvenlik duruşlarını geliştirebilir ve karmaşık siber saldırıların etkisini en aza indirebilir.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!