Cyble Research Labs uzmanları tarafından “MikuBot” adlı bir siber suç forumunda yeni bir kötü amaçlı yazılım botu keşfedildi.
Mikubot, esas olarak hassas verileri çalmak veya çalmak amacıyla gizli VNC oturumlarını başlatmak için tasarlanmıştır. Sadece bu değil, aynı zamanda tehdit aktörlerinin aşağıdaki eylemleri gerçekleştirmesine de izin verir:-
- Kurbanın makinesine uzaktan erişin
- USB cihazları aracılığıyla enfeksiyonun yayılması
- Diğer kötü amaçlı yazılım programları İnternet’ten indirilebilir
- Diğer kötü amaçlı yazılımlar da yürütülebilir
C++, botun yazıldığı dildir ve Windows işletim sisteminin tüm sürümlerinde çalışacak şekilde tasarlanmıştır. Kötü amaçlı yazılımın çalışması için herhangi bir üçüncü taraf uygulamasına bağımlılık yoktur ve bağımsız bir uygulama gibi davranır. Tehdit aktörlerinin MikuBot’a şunları sağladığı da belirtilmelidir:-
- Yazılım desteği tam olarak sağlanır
- Danışmanlık hizmetleri
- Yeni özellikler
- kriptolar
- Duyarlı yönetim
Çalışan TTP’ler
Virüsten koruma ürünleri tarafından algılanmamak için kötü amaçlı yazılım aşağıdaki yöntemleri kullanır:-
- Şifrelenmiş dizeler
- Dinamik API işlevleri
- Benzersiz nesne adları
- Öykünme önleme yöntemleri ve püf noktaları
Tehdit aktörlerinin Panelli MikuBot’u sınırlı bir süre için aşağıda listelendiği gibi sattığı fiyat:-
- $1300 (1,5 ay)
- 2200$ (3 ay)
Teknik Analiz
Kötü amaçlı yazılım dosyasının, kötü amaçlı yazılım dosyasının kaynak bölümünde bulunan RCData bölümünde şifrelenmiş yükü vardır. Kötü amaçlı yazılım dosyası yürütüldüğünde, kaynak bölümüne erişir ve şifrelenmiş yükü oradan alır.
Bunu takiben kötü amaçlı yazılım, UPX yükünü sistemin belleğine yükler ve çalıştırır. Bu kod bellekte açıldıktan sonra, kötü amaçlı yazılım, kodun değiştirilmesini önlemek için bir muteks oluşturur.
Bu kötü amaçlı yazılımı her 10 dakikada bir çalıştırmak için kötü amaçlı yazılım, bu muteks adıyla bir görev zamanlayıcı girişi oluşturur ve her seferinde kötü amaçlı yazılımı yürütmek için bunu kullanır.
Kötü amaçlı yazılım, kurbandan hassas bilgileri çalarak, kötü amaçlı yazılımı barındıran komuta ve kontrol sunucusuna gönderir.
Mali dolandırıcılık genellikle siber suçlular tarafından yeraltı forumlarından satın alınan kötü amaçlı yazılımların ve özel beceriler gerektirmeyen ek hizmetlerin yardımıyla gerçekleştirilir.
Kişiler ve kuruluşlar, kötü amaçlı yazılım botlarının ve hizmetlerinin satışı nedeniyle siber saldırılara ve finansal dolandırıcılığa karşı daha savunmasızdır. Şu anda MikuBot, projeye yoğun olarak dahil olan tehdit aktörleri nedeniyle sınırlı işlevselliğe sahip olacak.
MikuBot’un yöntemlerini sürekli iyileştirdiği ve bu arada teknolojilerini geliştirdiği için gelecekte daha sofistike olmasını bekleyebiliriz.
Öneriler
Aşağıda, tüm önerilerden bahsettik: –
- Güvenmediğiniz kaynaklardan dosya indirmeyin.
- Düzenli aralıklarla tarama geçmişinizi temizlemeli ve şifrenizi sıfırlamalısınız.
- Bilgisayarınızın, mobil cihazınızın ve İnternet’e bağlı tüm cihazların yazılımlarını otomatik olarak güncelleyecek şekilde ayarlandığından emin olun.
- İyi bir üne sahip bir anti-virüs ve internet güvenlik ürünü kullandığınızdan emin olun.
- E-posta eklerinin ve bağlantıların güvenilmez olmaları ihtimaline karşı açmadan önce orijinalliğini doğruladığınızdan emin olun.
- Çalışanların kimlik avı ve bilinmeyen URL’ler gibi tehditlerden korunabilmesi için çalışanların bu konuda eğitilmesi gerekmektedir.
- Torrentler, warez dosyaları gibi kötü amaçlı yazılımları dağıtmak için kullanılabilecek URL’leri engellediğinizden emin olun.
- Kötü amaçlı yazılımların veya Truva atlarının onlardan veri sızdırmaması için ağ düzeyindeki işaretlere dikkat edin.
- Tüm çalışanların bilgisayarlarının bir Veri Kaybını Önleme (DLP) çözümüyle donatıldığından emin olun.
Uzak Çalışanların Yükselişi: Ağınızın Güvenliğini Sağlamak İçin Bir Kontrol Listesi – Ücretsiz Teknik Dokümanı İndirin