Rusça konuşan kullanıcılara yönelik yeni kampanyada DCRat olarak bilinen modüler uzaktan erişim aracı (RAT) kullanıldı.
DCRat’ta daha önce görülmemiş bir teknik olan HTML kaçakçılığı yoluyla sunulan kötü amaçlı yazılım, kabuk komutlarını yürütmek, tuş vuruşlarını günlüğe kaydetmek, dosyaları sızdırmak ve kimlik bilgilerini çalmak için tipik RAT yeteneklerini kullanır; bu da DCRat için yeni bir dağıtım yöntemine işaret ederek tehdit ortamını genişletir.
HTML kaçakçılığı, genellikle uzak kaynaklardan alınan, güvenlik önlemlerini atlamak ve kurbanın tarayıcısında yürütmek üzere tasarlanmış, gizlenmiş kötü amaçlı yüklerin HTML kodu içine yerleştirilmesini içerir.
Gelişmiş güvenlik için yapay zekadan faydalanma => Ücretsiz Web Semineri
Veriler bir kez oluşturulduktan sonra orijinal biçimlerine dönüştürülür ve diske yazılır; potansiyel olarak kullanıcı etkileşimi gerektirir; bu, Azorult, Pikabot ve DCRat gibi çeşitli kötü amaçlı yazılım aileleri tarafından, şüphelenmeyen kullanıcılara kötü amaçlı kod dağıtmak için istismar edilmiştir.
Tehdit aktörü, mağdurları şifre korumalı ZIP arşivlerini indirmeleri için kandırmak amacıyla TrueConf ve VK Messenger’ı taklit eden sahte HTML sayfaları kullandı.
Bu HTML sayfaları, popüler tarayıcılardan erişildiğinde indirme işlemini otomatik olarak başlattı ve “2024” şifre çözme şifresini sağladı; bu, tehdit aktörünün, şifrelenmiş veriyi inceleyemeyen güvenlik araçları tarafından tespit edilmesini atlamasına olanak tanıdı.
HTML dosyalarındaki kötü amaçlı kodun, açık kaynaklı GitHub deposu “TheCyb3rAlpha/BobTheSmuggler”dan kaynaklandığı belirlendi ve bu da kodun daha fazla istismar edilme potansiyeline işaret ediyor.
Saldırganlar DCRat’ı sunmak için çok katmanlı bir arşiv yaklaşımı kullandı.
Başlangıçtaki parola korumalı ZIP, gizlenmiş bir RarSFX arşivi içeriyordu; bu arşiv daha sonra bir toplu iş dosyasını ve gerçek DCRat yükünü içeren başka bir parola korumalı RarSFX’i barındırıyordu.
Toplu iş dosyası, iç arşivi çalıştırarak, yürütülebilir dosyaları ENIGMA ve VMProtect gibi araçlarla dolu olan DCRat’ı çıkarmak ve çalıştırmak için şifre sağladı ve bunların derleme tarihi, saldırganın eski DCRat yapılarını yeniden kullandığını gösteriyor.
Tehdit aktörleri, başlangıçta şifre korumalı bir RarSFX arşivini başka bir RarSFX arşivi içine yerleştirerek tespit mekanizmalarını atlamak için çok katmanlı bir gizleme tekniği kullandı ve kullanıcı etkileşimi ihtiyacını ortadan kaldırdı.
Daha sonra, en dıştaki RarSFX arşivini şifre korumalı bir ZIP dosyasına sardılar ve kullanıcıları şifre girmeye zorladılar.
Bu, bir karmaşıklık katmanı eklese de, parola korumalı ZIP dosyasının VirusTotal’da tespit edilmekten kurtulması, bu tür tekniklerin güvenlik önlemlerinden kaçmadaki etkinliğini ortaya koydu.
Araştırmacılar bu taktiği ilk kez gözlemledikçe, DCRat kötü amaçlı yazılımını dağıtmak için HTML kaçakçılığının yeni kullanımı, DCRat’ın gelişen tekniklerini izlemeye yönelik süregelen ihtiyacı vurguladı.
Bu tür tehditleri azaltmak için Netskope, kuruluşların URL filtreleme ve tehdit koruma politikalarını kullanarak tüm HTTP ve HTTPS trafiğini kapsamlı bir şekilde incelemesini önerir.
Ek olarak, Uzaktan Tarayıcı Yalıtımı (RBI) teknolojisinin kullanılması, potansiyel olarak riskli web sitelerine erişirken ekstra güvenlik sağlayabilir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri