KimJongRAT adlı yeni bir uzaktan erişim truva atı ortaya çıktı ve Windows kullanıcıları için ciddi bir tehdit oluşturdu.
Bu gelişmiş kötü amaçlı yazılımın, devlet desteğine sahip olduğu iddia edilen bir tehdit aktörü olan Kimsuky grubu tarafından düzenlendiğine inanılıyor.
Kampanya genellikle, şüphelenmeyen kurbanları enfeksiyon zincirini başlatmaya teşvik eden, Ulusal Vergi Bildirimi adlı aldatıcı bir arşiv içeren bir kimlik avı e-postasıyla başlıyor.
Kötü amaçlı arşivi açtıktan sonra kullanıcılara meşru bir PDF belgesi olarak gizlenmiş bir kısayol dosyası sunulur.
.webp)
Bu kısayol dosyası yürütüldüğünde, Base64 URL’sinin kodunu çözen ve uzak bir sunucuyla iletişim kurmak için meşru Microsoft HTML Uygulaması yardımcı programını kötüye kullanan gizli bir komutu tetikler.
Bu işlem, standart güvenlik kontrollerini etkili bir şekilde atlayarak, Tax.hta olarak bilinen ek bir veriyi gizlice indirir.
Alyac güvenlik analistleri, bu yükleyici betiğinin VBScript’te uygulandığını ve akıllı kaçınma teknikleri kullandığını tespit etti.
Kötü amaçlı yazılım, kötü amaçlı bileşenlerini barındırmak için Google Drive gibi yasal hizmetleri kullanarak tespit edilmekten kurtulmaya çalışır.
Etkinleştiğinde yükleyici, hem kullanıcıyı kandırmak için sahte belgeleri hem de saldırının bir sonraki aşaması için gerekli olan gerçek kötü amaçlı ikili dosyaları alır.
Hassas verilerin sızması
Bu kampanyanın temel amacı hassas kişisel ve finansal verilerin sızdırılmasıdır.
Kötü amaçlı yazılım, sistem ayrıntıları, tarayıcı depolama verileri ve şifreleme anahtarları dahil olmak üzere çok çeşitli bilgileri hedefler.
Özellikle Telegram ve Discord gibi iletişim platformları için kripto para cüzdanı bilgilerini ve kimlik bilgilerini araştırıyor ve bu da onu kimlik hırsızlığı ve mali dolandırıcılık için son derece tehlikeli bir araç haline getiriyor.
KimJongRAT’ın en dikkate değer yönü, davranışını hedef ortamın güvenlik duruşuna göre uyarlama yeteneğidir.
Kötü amaçlı yazılım, devam etmeden önce Windows Defender’ın durumunu kontrol etmek için belirli bir VBScript komutunu çalıştırır.
Güvenlik hizmetinin etkin olup olmadığını belirlemek için Set exec = oShell.Exec(ss) ve ardından If InStr(output, “STOPPED”) > 0 Then kod parçacığını kullanır.
Windows Defender devre dışı bırakılırsa kötü amaçlı yazılım, birincil veriyi çalıştıran v3.log adlı bir dosyayı indirir.
Tersine, güvenlik etkinse algılamayı atlatmak için pipe.log adlı alternatif bir dosyayı alır.
Kötü amaçlı yazılım, izlediği yol ne olursa olsun, kendisini sistem kayıt defterine kaydederek kalıcılık sağlıyor ve çalınan verileri periyodik olarak iletmek üzere otomatik olarak çalışmasını sağlıyor.
.webp)
Kötü amaçlı yazılımların ele geçirdiği kripto para cüzdanlarının listesi, hedeflenen uygulamaların kapsamını vurgularken, aynı zamanda bu özel tehdidin arkasındaki spesifik finansal amacı da vurguluyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
