Kötü şöhretli Remcos uzaktan erişim Truva atını dağıtmak için eski Windows dosya formatları ve gelişmiş kaçırma tekniklerinden yararlanan gelişmiş yeni bir kimlik avı kampanyası ortaya çıktı.
Saldırı zinciri, birincil dağıtım mekanizması olarak DBatloader’ı kullanır, kullanıcı hesabı kontrol bypass yöntemlerinin, gizlenmiş komut dosyalarının ve kara ikili işlerinin kötüye kullanımı, tehlikeye atılan sistemlere kalıcı erişim sağlamak için bir kombinasyon kullanır.
Kampanya, DBatloader’ı hedef sistemlere dağıtmak için tasarlanmış “Faktura” adlı bir yürütülebilir dosyayı barındıran kötü niyetli arşivler içeren özenle hazırlanmış kimlik avı e -postalarıyla başlıyor.
.png
)
Bu çok aşamalı saldırı, tehdit aktörleri modern güvenlik çözümlerinden kaçınmak için giderek daha fazla meşru pencere işlevlerinden ve modası geçmiş dosya formatlarından yararlandığından, kötü amaçlı yazılım dağıtım tekniklerinde bir evrimi temsil ediyor.
RUN analistleri, bu kampanyayı kapsamlı kum havuzu analizi yoluyla tanımladılar ve kötü amaçlı yazılımlar tarafından gizli ve kalıcılığı korumak için kullanılan karmaşık yöntemleri ortaya koydu.
Araştırmacılar, saldırının başlangıçta erken Windows sistemlerinde DOS tabanlı programları yapılandırmak için tasarlanmış program bilgi dosyalarını (.pif), kötü amaçlı yürütülebilir ürünler için bir kılık değiştirme mekanizması olarak kullandığını belirtti.
.webp)
Bu kampanyanın sonuçları, gösterilen tekniklerin diğer tehdit aktörleri tarafından uyarlanabileceği ve silahlandırılabileceği için bireysel enfeksiyonların ötesine uzanmaktadır.
UAC bypass, süreç enjeksiyonu ve planlanmış görev istismarının sofistike kombinasyonu, geleneksel algılama metodolojilerine meydan okuyan ve tanımlama için ileri davranışsal analiz gerektiren sağlam bir enfeksiyon çerçevesi oluşturur.
Enfeksiyon mekanizması ve UAC bypass teknikleri
Bu kampanyanın temel inovasyonu, .pif dosyalarını ve Windows klasör adını kullanma güvenlik açıklarını kullanmasında yatmaktadır.
Taşınabilir bir yürütülebilir ürün olarak işlev gören kötü amaçlı alpha.pif dosyası, arka boşluklarla “C: \ Windows” gibi aldatıcı dizinler oluşturarak kullanıcı hesabı kontrolünü söndürür.
.webp)
Bu teknik, Windows’un klasör adı ayrıştırma mekanizmalarını kullanır ve kötü amaçlı yazılımların standart UAC istemlerini tetiklemeden yüksek ayrıcalıklar kazanmasına izin verir.
Saldırı, ping.exe kötüye kullanımı yoluyla sofistike zamana dayalı kaçırma kullanıyor ve yerel geri döngü adresini (127.0.0.1) on kez ping komutunu yürütüyor.
Meşru uygulamalar bunu ağ bağlantısı testi için kullanırken, DBatloader yapay gecikmeler sağlamak için bu işlevi yeniden kullanır ve zamana duyarlı algılama sistemlerinden kaçmaya yardımcı olur.
Kalıcılık için, kötü amaçlı yazılım, daha sonra .pif damlasını başlatan bir cmwdnsyn.url dosyasını tetikleyen planlanmış bir görev oluşturur.
Kampanya ayrıca .cmd dosyaları için Batcloak gizlemesi kullanıyor ve Windows Defender dışlama listelerini manipüle etmek için Extrac32.exe kullanıyor.
Bir kez konuşlandırıldıktan sonra, Remcos kendisini Sndvol.exe ve colorCpl.exe dahil olmak üzere güvenilir sistem süreçlerine enjekte eder ve yasal sistem işlemleriyle sorunsuz bir şekilde karışmak için hedef süreçlerini örnekler arasında değiştirir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi