Adobe Reader kurulumu gibi görünen bir bilgi hırsızı gözlemlendi. Dosya PDF formatında dağıtılır ve kullanıcılardan dosyayı indirip çalıştırmaları istenir.
AhnLab Güvenlik İstihbarat Merkezi'ne (ASEC) göre sahte PDF dosyası Portekizce yazılmış ve kullanıcılara Adobe Reader'ı indirip yüklemeleri talimatını veriyor.
Dosyayı açmak için Adobe Reader'ın gerekli olduğunu bildirerek kullanıcıları kötü amaçlı yazılım indirip yüklemeye teşvik eder.
Saldırının Akışı
Araştırmacılar, mesajın kullanıcılardan Adobe Reader'ı yüklemelerini ve indirmelerini istediğini söylüyor.
Kullanıcılar aşağıda görüldüğü gibi gri alana tıkladıklarında kötü amaçlı yazılım indirilir ve aşağıdaki mesaja yönlendirilirler: hxxps://raw.githubusercontent[.]com/fefifojs/reader/main/Reader_Install_Setup.exe
.webp)
“İndirilen dosya Adobe Reader simgesi şeklini alır ve adı Reader_Install_Setup.exe olarak ayarlanır.
ASEC araştırmacıları Cyber Security News ile yaptığı paylaşımda, Adobe Reader yükleyicisinin kılığına girerek kullanıcıyı onu çalıştırmaya yönlendiriyor.
.webp)
İndirilen dosyanın yürütme prosedürünün üç aşaması vardır: dosya oluşturma, DLL Ele Geçirme ve UAC Atlaması ve Bilgi Sızıntısı.
.webp)
Dosya oluşturma aşamasını takiben Reader_Install_Setup.exe, bir Windows sistem dosyası olan msdt.exe'yi başlatmak için aşağıdaki komutu kullanır ve iki kötü amaçlı dosya üretir.
“C:\Windows\SysWOW64\msdt.exe” -yol “C:\WINDOWS\diagnotics\index\BluetoothDiagnostic.xml” – evet atla
Sdiagnhost.exe'yi yönetici olarak çalıştırmak, şu anda çalışmakta olan msdt.exe işleminin işlevidir.
Bu nedenle, sdiagnhost.exe işlemi BluetoothDiagnosticUtil.dll dosyasını yüklediğinde, kötü amaçlı DLL dosyası yüklenir.
Yukarıdaki işlemin ardından tehdit aktörü, DLL ele geçirmeyi kullanarak kullanıcı hesabı kontrolünü (UAC) atlayabilir.
Bilgi sızıntısı aşamasında chrome.exe dahil dosyalar oluşturur ve bunları oluşturulan yolda gizler.
Chrome.exe, sistem ve tarayıcı bilgilerini toplar ve bunları C2 sunucusuna gönderir.
Oluşturulan chrome.exe, gerçek Google Chrome tarayıcısıyla ilişkili kötü amaçlı bir dosyadır ve aynı simgeyi kullanarak tarayıcının gerçek yürütülebilir dosyasının kimliğine bürünür.
Sonuç olarak, yetkisiz kaynaklardan dosya alan kullanıcılar, kendilerinden kötü amaçlı yazılım çalıştırmalarını isteyen dosyalarla uğraşırken son derece dikkatli olmalıdır.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.