Birden Fazla Fidye Yazılımı Varyantı Sunmak İçin Silahlandırılmış PDF Dosyaları


Bilgisayar Korsanları PDF Dosyalarını Silahlaştırıyor

PDF dosyaları yaygın olarak çok yönlülükleri nedeniyle kullanılır; bu da, kötü amaçlı komut dosyaları veya bağlantılar içerebilecekleri için onları kötü amaçlı yazılım dağıtımının ana hedefi haline getirir.

Yaygın kullanımları ve güvenilir itibarları, kullanıcıların virüslü PDF’leri bilgisi veya amacı olmadan açmaya karşı daha duyarlı olmasını sağlar.

DÖRT

AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki (ASEC) siber güvenlik analistleri, bilgisayar korsanlarının çeşitli fidye yazılımı çeşitleri için dağıtım yöntemi olarak PDF dosyalarını aktif olarak kullandığını keşfetti.

Bilgisayar korsanları, kötü amaçlı URL’ler içeren, silah haline getirilmiş PDF dosyalarını dağıttı.

Bilgisayar Korsanları PDF Dosyalarını Silahlaştırıyor

Kötü amaçlı bir URL’ye PDF’lerdeki düğmelere tıklanarak erişilebilir. Sunulan ekran kullanıcılara bilgi verir ve kırmızı düğmelere tıklamak onları belirli bir URL’ye götürür.

Kötü Amaçlı PDF (Kaynak – ASEC)

Aşağıda URL’den bahsettik: –

  • hxxps://fancli[.]com/21czb7

Bağlantı, mavi indirme düğmesinin bulunduğu bir URL’ye yönlendiriyor. Şifrelenmiş bir dosyayı indirdikten sonra kullanıcılar, şifre çözme şifresinin ortaya çıktığı bir sayfaya yönlendirilir.

Yönlendirilen sayfa (Kaynak – ASEC)

Aşağıda, yönlendirilen URL’den bahsettik: –

  • hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3

İndirdikten sonra sayfa, kullanıcılardan şifrelenmiş dosyayı ‘1234’ şifresiyle açmalarını ister. ‘Setup.7z’ dosyasının sıkıştırması açıldığında, kullanıcılar yürütülebilir dosya olan “File.exe”yi bulurlar.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.


File.exe’nin yönetici olarak çalıştırılması kayıt defterini değiştirir ve IP ve konum verilerini toplamak için tarayıcı oturum açma kimlik bilgilerini kullanır. Bundan sonra, belirlenen konuma daha fazla kötü amaçlı yazılım indirilir: –

  • C:\Users\%USERNAME%\Resimler
  • C:\Users\%USERNAME%\Resimler\Küçük Politika

Aşağıda, indirilen kötü amaçlı yazılımın içeriğinden bahsettik: –

Yürütme akışı

İndirilen dosyalardan birkaçı gizli ve sistem özellikleri ayarlıydı. Akış, kötü amaçlı bir URL’ye sahip bir PDF’den başlar ve çeşitli kötü amaçlı yazılım türlerinin indirilmesine ve çalıştırılmasına yol açar.

Kötü amaçlı yazılım dağıtımı (Kaynak – ASEC)

Aşağıdaki konumdaki kötü amaçlı dosya, “bus50.exe”, bir CAB dosyası içeren bir SFX dosyasıdır ve SFX dosyasının çalıştırılması, ‘IXP000.TMP’ klasöründe kötü amaçlı dosyalar oluşturur: –

  • hxxp://109.107.182[.]2/race/bus50.exe

Birbiri ardına gelen SFX dosyaları, giderek daha fazla veri içeren dizinler oluşturur;

  • 6 SFX dosyası
  • 7 ek kötü amaçlı yazılım
Yürütme akışı (Kaynak – ASEC)

Bir öneri olarak araştırmacılar, crack ve yasa dışı programların indirilmesinden kaçınmayı ve sadece bununla kalmayıp, dosyaların yürütülmesi sırasında bile çok dikkatli davranmayı önerdiler.

IOC

Karma (MD5)

  • d97fbf9d6dd509c78308731b0e57875a (PDF)
  • 9ce00f95fb670723dd104c417f486f81 (Dosya.exe)
  • 3837ff5bfbee187415c131cdbf97326b (SFX)
  • 7e88670e893f284a13a2d88af7295317 (Kırmızı Çizgi)

URL’leri indirin

  • hxxps://vk[.]com/doc493219498_672808805?hash=WbT8ERQ6JqZtcpYqYQ1dqT20VUT6H55UBeZPohjBEcL&dl=OZT9YtCLo5wh0Asz409V6q2waoA5QzfpbHWRNw1XuN4&api=1&no_preview=1
  • hxxp://171.22.28[.]226/download/Services.exe
  • hxxp://109.107.182[.]2/race/bus50.exe
  • hxxp://albertwashington[.]icu/timeSync.exe
  • hxxps://deney[.]pw/setup294.exe
  • hxxps://sun6-22.userapi[.]com/c909518/u493219498/docs/d15/e2be9421af16/crypted.bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWl SiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM

StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.



Source link