STRRAT’ın arkasındaki bilgisayar korsanları, Cyble Research And Intelligence Labs (CRIL) tarafından en son bloglarında vurgulandığı gibi, en son sürümü olan 1.6’yı dağıtmak için yeni bir enfeksiyon tekniği benimsedi.
teknik için önemli bir meydan okuma sunuyor siber güvenlik araştırmacıları ve profesyoneller, ek olarak kötü niyetli bir PDF dosyası içeren bir spam e-posta ile başlayarak.
Son birkaç yılda, STRRAT’ın arkasındaki tehdit aktörü, varlığını gizlemek ve kurban sistemlerde fark edilmeden kalmak için yeni taktikler ve özellikler sunması için STRRAT’a kaynak ve araştırma aktardı.
Yazılımın 1.6 sürümü, iki dizi gizleme tekniğini birleştirerek önceki sürümlerin ötesine geçiyor. Cyble’ın raporunda “Bu yeni yöntem, iki dizi gizleme tekniği kullanan STRRAT sürüm 1.6’nın dağıtımını içeriyor” diyor.
STRRAT nedir ve yeni enfeksiyon tekniğinden nasıl yararlanır?
Cyble Research And Intelligence Labs (CRIL), yeni bir bulaşma tekniği kullanan STRRAT sürüm 1.6’nın dağıtımına ilişkin içgörüler ortaya koyan bir araştırma yürütmüştür.
Yöntem bir istenmeyen e-posta meşru bir şirket gibi görünerek alıcıları aldatan kampanya. E-postanın içinde, ekli bir PDF dosyası, akıllıca bir fatura olarak kendini gizler.
PDF ekini açtıktan sonra, dosya içindeki bir indirme görüntüsü, şüpheli bir URL’den “Invo-0728403.zip” adlı bir zip dosyasının indirilmesini tetikler. İndirilen zip dosyasının içinde, şifrelenmiş STRRAT yükünü içeren bir JavaScript dosyası bulunur.
Çalıştırıldıktan sonra, JavaScript yükün şifresini çözer ve “lypbtrtr.txt” adlı gizlenmiş zip (JAR) dosyasını “\AppData\Roaming” dizinine bırakır.
STRRAT ve dize şaşırtma teknikleri
STRRAT 1.6 sürümündeki dikkate değer gelişmelerden biri, “Zelix KlassMaster (ZKM)” ve “Allatori” olarak adlandırılan ikili dizi gizleme tekniklerinin kullanılmasıdır.
Dize gizleme, fikri mülkiyeti korumak için kullanılan popüler bir tescilli yazılım ve uygulama tekniğidir.
Bu teknik, hedef uygulamalardaki kötü amaçlı yazılımları ve diğer açıkları gizleyen tehdit aktörleri ve bilgisayar korsanları tarafından da kullanılır.
Her iki durumda da, bu teknik, AES şifrelemesi için XOR işlemleri üzerinde biraz manipülasyon gerektirir. Bu tekniği kullanarak, STRRAT’ın arkasındaki bilgisayar korsanları, güvenlik araştırmacıları için kötü amaçlı yazılımı analiz etme ve tespit etme sürecini zorlaştırıyor ve kullanıcıların sistemlerinde tespit etmesini daha da zorlaştırıyor.
STRRAT’ın kurnaz teknikleri
Ayrıca STRRAT, kurban sistemde kalıcı olmak için “Skype” kullanarak bir görev zamanlayıcı girişi oluşturur. Bu kalıcılık mekanizması, kötü amaçlı yazılımın sistem yeniden başlatıldıktan sonra bile etkin kalmasını sağlar.
STRRAT’ın güncellenmiş sürümü, Chrome, Firefox ve Internet Explorer gibi internet tarayıcılarını hedefleme yeteneği dahil olmak üzere önceki sürümlerindeki özellikleri ve komutları kullanır.
Bu yeni özellikler ve klasik işlevleriyle STRRAT, Outlook, Thunderbird ve Foxmail gibi yaygın olarak kullanılanlar da dahil olmak üzere birden çok e-posta istemcisini de hedefleyebilir.
Kötü amaçlı yazılımın birincil hedefleri, web tarayıcılarından ve e-posta istemcilerinden keylogging ve kimlik bilgilerinin çalınması gibi etkinlikler yoluyla hassas bilgileri çalmayı içerir.
70’in üzerinde STRRAT sürüm 1.6’nın vahşi örnekleri, tehdit aktörleri tarafından aktif ve devam eden bir kampanyaya işaret ediyor. STRRAT’ın özellikle 1.6 sürümünün kullanıma sunulmasıyla birlikte sürekli gelişimi, tehdit aktörlerinin taktiklerini iyileştirme ve tespit edilmekten kaçınma kararlılığını gösteren başka bir örnektir.
İkili gizleme yöntemlerini entegre etmek, siber güvenlik uzmanlarının kötü amaçlı yazılımın kodunu incelemesini ve tüm yeteneklerini anlamasını daha da zorlaştırıyor.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.