Sofistike bir kimlik avı kampanyası, tehlikeli Venomrat kötü amaçlı yazılımlarını dağıtmak için sanal sabit disk (.vhd) dosyalarından yararlanıyor.
Saldırı, çıkarıldığında, geleneksel güvenlik önlemlerinden kaçınmak için tasarlanmış sabit disk görüntü dosyalarını ortaya çıkaran arşiv ekleri içeren satın alma siparişi temalı e-postalarla başlar.
.webp)
Açıldıktan sonra, .vhd dosyası, PowerShell kullanarak kötü amaçlı etkinlikler gerçekleştiren yoğun bir şekilde gizlenmiş bir toplu komut dosyası içeren bir disk sürücüsü olarak monte edilir.
Parti dosyası, çöp karakterleri, baz64 kodlama ve AES şifrelemesi dahil olmak üzere birden fazla gizleme katmanı içerir.
ForcePoint araştırmacıları, yürütüldüğünde, kötü amaçlı yazılımın kendisinin bir kopyasını “C: \ Users \%userprofile%\ dwm.bat” da oluşturduğunu ve ek komutlar yürütmek için PowerShell’i açtığını belirledi.
Komut dosyası daha sonra enfekte olmuş sistemde kalıcılığı sağlamak için kayıt defteri girişlerini değiştirir.
Kötü amaçlı yazılım başlangıç klasörüne ek dosyalar bıraktıkça ve komut ve kontrol sunucusu bilgilerinin saklandığı Pastebin.com’a bağlandıkça saldırı zinciri devam eder.
Bu teknikler, kötü amaçlı yazılımların bir dayanak oluşturmasına ve operatörleriyle iletişimi sürdürmesine yardımcı olur.
Analiz Venomrat
Yükün analizi, uzak sistem kontrolü için HVNC (Gizli Sanal Ağ Hesaplama) hizmet özelliklerini içeren Venomrat sürüm 6.0.3 olduğunu ortaya koymaktadır.
.webp)
Kötü amaçlı yazılım, tuş vuruşlarını ve diğer hassas bilgileri yakalamak için “C: \ users \%userprofile%\ AppData \ Roaming \ myData \” adresine bir datalogs.conf dosyasını bırakır.
.webp)
Bu yapılandırma dosyası, “a487de3093a5dge47d49bc0733cbclemec5ed7513c39017e977a04597dr” bir AES şifreleme anahtarı içerir, “Venombzyveoncon” tuz değeri olan, malware’in komut sunucularıyla güvenli iletişim için kullandığı tuz değeri.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free