Fortinet’in FortiGuard Labs tarafından sofistike bir kimlik avı kampanyası ortaya çıkarıldı ve Windows kullanıcılarını hassas verileri çalmak için tasarlanmış kötü niyetli kelime belgeleri ile hedefliyor.
Meşru satış siparişleri olarak gizlenen bu e-postalar, alıcıları Microsoft Denklem Düzenleyicisi 3.0’da bilinen bir güvenlik açığı olan CVE-2017-11882’den yararlanan ekleri açar.
Bu uzaktan kod yürütme kusuru, saldırganların kurbanın sisteminde zararlı kod yürütmesine olanak tanır ve sonuçta FormBook bilgi çalma kötü amaçlı yazılımlarının yeni bir varyantını dağıtır.
.png
)
Formbook, kimlik bilgilerini, tuş vuruşlarını, ekran görüntülerini ve pano verilerini hasat etmek için kötü şöhretlidir ve kişisel ve organizasyonel güvenlik için ciddi bir tehdit oluşturur.
Saldırı zincirinin ve form kitabı dağıtımının teknik dökümü
Saldırı, FortiMail tarafından işaretlenen bir kimlik avı e -postasıyla başlar, ancak acil ve meşru görünmek için hazırlanmış, kullanıcıları genellikle “sipariş 0087.docx” gibi zararsız bir şey olarak adlandırılan ekli kelime belgesini açmaya teşvik eder.
OOXML biçiminde kaydedilen belge, kötü niyetli ikili nesneler içeren bir RTF dosyası olan “Algeria.rtf” yerleştirilir.
Bir nesne, % sıcaklık % klasörüne çıkarılırken, “Adobeid.pdf” olan 64 bit DLL dosyasıdır.
Rapora göre, bu, süreci kolaylaştıran hazırlanmış bir Winexec () API çağrısı ile Rundll32.exe aracılığıyla DLL’nin yürütülmesine yol açar.
DLL, System Startup’ta çalışmasını sağlayarak HKCU \ Software \ Microsoft \ Microsoft \ Windows \ CurrentVersion \ Run altında bir kayıt defteri tuşu ekleyerek kalıcılık oluşturur.
Daha sonra kötü amaçlı bir URL’den PNG dosyası olarak gizlenmiş şifreli bir yükü indirir, sabit kodlu bir anahtar (“H1OX2WSQMLPKVGKQ”) kullanarak şifresini çözer ve Fileless Formbook Execable’ı ortaya çıkarır.
Tespitten kaçınmak için, kötü amaçlı yazılım, Windows Photo görüntüleyicisi altında “ImagingDevices.exe” gibi meşru bir sürece enjekte ederek proses oymasını kullanır.
Belirli CreationFlag’larla (örneğin Create_suspended) askıya alınmış bir işlem oluşturarak, şifrelenmiş form kitabını NTMapViewOfSection () aracılığıyla belleğine eşleyerek ve Wow64setThreadContext () ile iş parçacığı bağlamını ayarlayarak, kötü amaçlı çalışır, geleneksel dosya tabanlı algılamadan kaçınır.
Kimlik avından yük dağıtımına bu karmaşık zincir, saldırganların kaçırma ve kalıcılığa odaklanmasını vurgular ve bu varyantı özellikle tehlikeli hale getirir.
Fortinet’in Antispam, Web Filtreleme, IP’ler ve antivirüs hizmetleri de dahil olmak üzere korumaları, bu tehdidi “Msword/Formbook.9184! TR” gibi imzalarla ve ilişkili kötü amaçlı URL’ler ve DNS isteklerini engelleyerek zaten işaretledi ve hafifletti.
Kullanıcıların bu tür ileri tehditlere karşı savunmak için uyanık kalmaları ve sistemlerini güncellemeleri istenir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer |
|---|---|
| Url | hxxps: // www2[.]0ZZ0[.]com/2025/02/02/10/709869215.png |
| order0087.docx sha-256 | 93CF566C0997D5DCD112938420E4CE59764BD86FDABAAA8B74CAF5318BA9184 |
| Algeria.rtf sha-256 | 7c66e3156bbe88ec56294cd2ca15416dd2b18432deedc024116e8fbb22d23b |
| Adobeid.pdf SHA-256 | 2E73B32D2180FD06F5142F68E741DA1CFF1C5E96387CEBD489AD78DE18840A56 |
| Şifre çözülmüş form kitabı sha-256 | 6ac778712dffce48b51850a4a846da357be07328b0d629ec9b2f1c37ece |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!