PDF dosyaları yaygın olarak çok yönlülükleri nedeniyle kullanılır; bu da, kötü amaçlı komut dosyaları veya bağlantılar içerebilecekleri için onları kötü amaçlı yazılım dağıtımının ana hedefi haline getirir.
Yaygın kullanımları ve güvenilir itibarları, kullanıcıların virüslü PDF’leri bilgisi veya amacı olmadan açmaya karşı daha duyarlı olmasını sağlar.
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ndeki (ASEC) siber güvenlik analistleri, bilgisayar korsanlarının çeşitli fidye yazılımı çeşitleri için dağıtım yöntemi olarak PDF dosyalarını aktif olarak kullandığını keşfetti.
Bilgisayar korsanları, kötü amaçlı URL’ler içeren, silah haline getirilmiş PDF dosyalarını dağıttı.
Bilgisayar Korsanları PDF Dosyalarını Silahlaştırıyor
Kötü amaçlı bir URL’ye PDF’lerdeki düğmelere tıklanarak erişilebilir. Sunulan ekran kullanıcılara bilgi verir ve kırmızı düğmelere tıklamak onları belirli bir URL’ye götürür.
Aşağıda URL’den bahsettik: –
- hxxps://fancli[.]com/21czb7
Bağlantı, mavi indirme düğmesinin bulunduğu bir URL’ye yönlendiriyor. Şifrelenmiş bir dosyayı indirdikten sonra kullanıcılar, şifre çözme şifresinin ortaya çıktığı bir sayfaya yönlendirilir.
Aşağıda, yönlendirilen URL’den bahsettik: –
- hxxps://pimlm[.]com/c138f0d7e1c8a70876e510fcbb478805FEw1MBufh9gLOVv4erOokBCFouvPxBIEeH3DBT3gv3
İndirdikten sonra sayfa, kullanıcılardan şifrelenmiş dosyayı ‘1234’ şifresiyle açmalarını ister. ‘Setup.7z’ dosyasının sıkıştırması açıldığında, kullanıcılar yürütülebilir dosya olan “File.exe”yi bulurlar.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
File.exe’nin yönetici olarak çalıştırılması kayıt defterini değiştirir ve IP ve konum verilerini toplamak için tarayıcı oturum açma kimlik bilgilerini kullanır. Bundan sonra, belirlenen konuma daha fazla kötü amaçlı yazılım indirilir: –
- C:\Users\%USERNAME%\Resimler
- C:\Users\%USERNAME%\Resimler\Küçük Politika
Aşağıda, indirilen kötü amaçlı yazılımın içeriğinden bahsettik: –
Yürütme akışı
İndirilen dosyalardan birkaçı gizli ve sistem özellikleri ayarlıydı. Akış, kötü amaçlı bir URL’ye sahip bir PDF’den başlar ve çeşitli kötü amaçlı yazılım türlerinin indirilmesine ve çalıştırılmasına yol açar.
Aşağıdaki konumdaki kötü amaçlı dosya, “bus50.exe”, bir CAB dosyası içeren bir SFX dosyasıdır ve SFX dosyasının çalıştırılması, ‘IXP000.TMP’ klasöründe kötü amaçlı dosyalar oluşturur: –
- hxxp://109.107.182[.]2/race/bus50.exe
Birbiri ardına gelen SFX dosyaları, giderek daha fazla veri içeren dizinler oluşturur;
- 6 SFX dosyası
- 7 ek kötü amaçlı yazılım
Bir öneri olarak araştırmacılar, crack ve yasa dışı programların indirilmesinden kaçınmayı ve sadece bununla kalmayıp, dosyaların yürütülmesi sırasında bile çok dikkatli davranmayı önerdiler.
IOC
Karma (MD5)
- d97fbf9d6dd509c78308731b0e57875a (PDF)
- 9ce00f95fb670723dd104c417f486f81 (Dosya.exe)
- 3837ff5bfbee187415c131cdbf97326b (SFX)
- 7e88670e893f284a13a2d88af7295317 (Kırmızı Çizgi)
URL’leri indirin
- hxxps://vk[.]com/doc493219498_672808805?hash=WbT8ERQ6JqZtcpYqYQ1dqT20VUT6H55UBeZPohjBEcL&dl=OZT9YtCLo5wh0Asz409V6q2waoA5QzfpbHWRNw1XuN4&api=1&no_preview=1
- hxxp://171.22.28[.]226/download/Services.exe
- hxxp://109.107.182[.]2/race/bus50.exe
- hxxp://albertwashington[.]icu/timeSync.exe
- hxxps://deney[.]pw/setup294.exe
- hxxps://sun6-22.userapi[.]com/c909518/u493219498/docs/d15/e2be9421af16/crypted.bmp?extra=B1RdO-HpjVMqjnLdErJKOdzrctd5D25TIZ1ZrBNdsU03rpLayqZ7hZElCroMxCocAIAu5NtmHqMC_mi0SftWWl SiCt45Em-FJQwMgKimJjxdYqtQzgUWp3F9Fo0vrbdrH_15KJlju51Y3LM
StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.