Popüler Rus sitesi CryptoPro CSP’yi taklit eden bir kimlik avı web sitesi, yakın tarihli bir keşifte Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) tarafından tespit edildi.
DarkWatchman kötü amaçlı yazılımının dağıtımı, bu web sitesi aracılığıyla tehdit aktörleri tarafından gerçekleştiriliyordu. 2021 yılında, DarkWatchman ilk olarak tespit edildi ve odak noktası öncelikle Rusya’daki kullanıcılardı.
DarkWatchman RAT, saldırganlara bir kurbanın sistemine yetkisiz erişim izni verir. Bu yasa dışı erişim, saldırganların virüslü cihazı kontrol etmesine ve değerli bilgileri uzaktan çalmasına olanak tanır.
Kötü Amaçlı Yetenekler
Aşağıdakiler de dahil olmak üzere sahip olduğu birkaç kötü amaçlı yetenek vardır:
- Tuş vuruşlarını yakalama
- Pano verileri
- Sistem bilgisi
DarkWatchman’ın tespit edilmekten kaçınmak için zekice bir yöntemi olduğunu belirtmekte fayda var. Kötü amaçlı yazılım, çalınan verileri sistemin diskine yazmak yerine kayıt defterinde depolar.
Bu, AV araçları tarafından tespit edilme riskini azaltır ve saldırganın yasa dışı faaliyetlerini keşfetmeyi zorlaştırır.
Teknik Analiz
Aşağıdaki web sitesi, şüphelenmeyen kullanıcıları kandırmak için bir kimlik avı taktiği kullanır: –
- hxxps[:]//cryptopro-indirme[.]bir
Kullanıcılar siteyi ziyaret ettiklerinde, cihazlarına zarar verebilecek kötü amaçlı bir dosya olan “CSSPetup.rar” adlı dosyayı indirmeleri istenir. Bu dosyanın içeriğini çıkarmak için dosyayla birlikte verilen bir şifreyi girmek gerekir.
Ayıklandıktan sonra kötü amaçlı arşive iki dosya dahil edilir: –
DarkWatchman kötü amaçlı yazılımı, CSPSetup.exe çalıştırıldığında kurbanın sistemine yüklenir.
Cyble’daki siber güvenlik analistleri arşivin içeriğini incelediklerinde, Rusça yazılmış bir readme.txt dosyasının dahil edildiğini keşfettiler. Dosya, kötü amaçlı yazılımın esas olarak Rus kullanıcıları hedeflemek için tasarlandığını gösteriyor.
Bir SFX arşiv dosyası olan CSPSetup.exe yürütüldüğünde, %temp% konumuna “144039266” adlı bir dosya bırakır ve bu dosya DarkWatchman RAT’ı içeren bir JavaScript dosyasıdır.
JavaScript dosyasının başarılı bir şekilde başlatılmasından sonra, aşağıda özetlenen işlev devralır ve aşağıdaki görevleri yerine getirmekten sorumludur:-
- Global değişkenler başlatılıyor
- Bir keylogger yükleme
- RAT’ı yapılandırma
Kurbanların sisteminde komut dosyası, gerekli tüm genel değişkenleri ve kullanıcı izin bilgilerini aldıktan sonra RAT’ın kurulum sürecini başlatır.
Komut dosyası tarafından gerçekleştirilen eylemler
Komut dosyası tarafından gerçekleştirilen eylemler şunlardır: –
- RAT’ın sistem kayıt defterinde kontrol ettiği ve kayıt defterinde bulursa yürüttüğü bir JavaScript dosyası vardır.
- PowerShell, keylogger kodunu “Süreci BaşlatWMI Üzerinden” kayıt defterinden işlev.
- Tespit olasılığını azaltmak için, keylogger klavye girişlerini, pano verilerini ve akıllı kart bilgilerini kayıt defterinde saklar.
- DarkWatchman’daki keylogger’lar, yakaladıkları verileri, kullanıcıdan yakaladıkları verileri depolamak için arabellek işlevi gören kayıt defteri değerlerine kaydeder.
öneriler
Aşağıda, güvenlik araştırmacıları tarafından sunulan önerilerden bahsetmiştik: –
- Şüpheli bağlantılar içeren e-postalar açılmamalıdır.
- Yazılımın güvenilmeyen bir kaynaktan indirilmesi yapılmamalıdır.
- Masaüstü bilgisayarınız, dizüstü bilgisayarınız ve cep telefonunuz dahil olmak üzere bağlı cihazlarınızın saygın bir antivirüs ve İnternet güvenliği yazılım paketi ile korunduğundan emin olun.
- Bilinmeyen bir kaynaktan bir e-posta eki veya bağlantı alırsanız, orijinal olduğunu doğrulayana kadar açmamalısınız.
- Aynı ağda virüs bulaşan cihazların bağlantısı kesilmelidir.
- Harici bir depolama aygıtı bağladıysanız, bağlantısını kesmelisiniz.
- Sistem günlüklerinin şüpheli etkinlik açısından incelendiğinden emin olun.