Bilgisayar korsanları, Windows’ta .PIF dosyaları ve UAC Bypass aracılığıyla Remcos kötü amaçlı yazılımları teslim edin


Kötü şöhretli Remcos Remote Access Trojan’ı (sıçan) DBatloader kötü amaçlı yazılım aracılığıyla dağıtan gelişmiş bir kimlik avı kampanyası ortaya çıktı.

RUN’un etkileşimli sanal alanında analiz edilen bu saldırı zinciri, kullanıcı hesabı kontrolü (UAC) bypass teknikleri, gizlenmiş komut dosyaları, kara ikili dosyalarından (LOLBA’lar) istismarda yaşayan ve tespit edilmeyen sistemlere sızmak için kalıcılık mekanizmalarının bir kombinasyonundan yararlanır.

Kampanya, içinde “Faktura” adlı kötü niyetli bir yürütülebilir dosyası yatan bir arşiv içeren bir kimlik avı e -postasıyla başlıyor.

Yürütüldükten sonra, bu dosya DBatloader’ı dağıtır ve Windows sistemlerinde çok katmanlı bir saldırı için zemin hazırlar.

Bu saldırıyı özellikle sinsi yapan şey, orijinal olarak erken Windows sürümlerinde DOS tabanlı programları yapılandırmak için tasarlanmış eski .pif (program bilgi dosyası) dosyalarını kullanmasıdır.

Meşru amaçlar için modası geçmiş olsa da, .PIF dosyaları modern Windows sistemlerinde yürütülebilir kalır, bu da saldırganların kötü amaçlı yüklerini gizlemelerine ve tipik uyarı diyaloglarını tetiklemeden yürütmelerine olanak tanır.

UAC Bypass ve Kaçma Taktikleri Açıklandı

Saldırı mekaniğine daha derinlemesine giren DBatloader, “C: \ Windows” gibi aldatıcı dizinler oluşturarak UAC’yi atlamak için “alpha.pif” (taşınabilir bir yürütülebilir dosya) gibi .PIF dosyalarını kullanır.

Remcos kötü amaçlı yazılım
Sonraki alanlar, saldırganların Windows’un klasör adı taşımasını kötüye kullanmasına izin verir

RUN raporuna göre, Windows klasör adı işlenmesinin bu ince manipülasyonu, kötü amaçlı yazılımın gizli bir şekilde yüksek ayrıcalıklar kazanmasını sağlar.

Ayrıca, kampanya, yerel geri döngü adresini (127.0.0.1) birden çok kez ping.exe kullanmak gibi kaçınma taktiklerini kullanıyor ve zamana dayalı tespit mekanizmalarından kaçınmak için yapay gecikmeler getiriyor. Bazı durumlarda, bu teknik uzak sistem keşfi için bir araç olarak iki katına çıkar.

Ayrıca, kötü amaçlı “svchost.pif” dosyası, Windows Defender’ın dışlama listesine belirli yollar eklemek için ekstrak32.exe’yi manipüle eden neo.cmd aracılığıyla bir komut dosyasını tetikler ve kötü amaçlı yazılımları incelemeden daha da korur.

Kalıcılık, bir “cmwdnsyn.url” dosyasını etkinleştiren planlanan görevlerle sağlanır ve bu da sistem yeniden başlatmalarında kötü amaçlı yazılımların dayanağını korumak için bir .pif damlası başlatır.

Son yük, Remcos Rat, Batcloak gibi araçlarla gizlenmiş, karmaşık analizi gizlenmiş. CMD komut dosyaları ile teslim edilir.

Remcos daha sonra kendisini sndvol.exe veya colorcpl.exe gibi güvenilir süreçlere enjekte eder ve sistemin süreç manzarasına sorunsuz bir şekilde harmanlanır.

Sanal kum havuzunda proaktif algılama

Geleneksel imzaya dayalı savunmalar genellikle gizlenmeye ve sistem-yerli araçlara dayanan çok aşamalı saldırılara karşı yetersiz kalır.

Remcos kötü amaçlı yazılım
Güvenlik profesyonelleri için analizi karmaşıklaştırır

Güvenlik uzmanları, şüpheli dosyaların Windows, Android ve Linux sistemlerini destekleyen herhangi bir.Run’un etkileşimli sanal alan gibi güvenli, sanal bir ortamda proaktif patlamasını önerir.

Bu bulut tabanlı platform, kötü amaçlı yazılımları 40 saniyenin altında algılar, tehdit analizini önemli ölçüde hızlandırır ve SOC ekipleri için olay tepki sürelerini azaltır.

Şüpheli dosyaları ve URL’leri izole ederek, daha derin içgörüler için tehditlerle manuel etkileşimi sağlarken kurumsal altyapı risklerini önler.

Analistler, olağandışı dosya yollarını izleyebilir, haydut süreçleri izleyebilir ve ağ bağlantılarını analiz edebilir, sonuçta uç nokta güvenliğini arttırmak için uzlaşma göstergeleri (IOCS) ile ayrıntılı raporlar oluşturabilir.

Bu yaklaşım sadece algılama oranlarını iyileştirmekle kalmaz, aynı zamanda yapılandırılabilir erişim seviyeleri ve üretkenlik izleme yoluyla ekip işbirliğini de teşvik ederek uzun süreli tehditlerden kaynaklanan finansal kayıpları azaltmak için uygun maliyetli bir çözüm haline getirir.

Kimlik avı kampanyaları daha sofistike hale geldikçe, bu tür gelişmiş kum havuzu araçlarından yararlanmak, unutulmuş dosya biçimlerinden ve sistem güvenlik açıklarından yararlanan rakiplerin önünde kalmak için kritik hale gelir.

Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin



Source link