Kimlik avı saldırısı, faturalar gibi finansal dosyalar kılığında kötü amaçlı e-postalar göndererek başlar.
SentinelOne’daki siber güvenlik araştırmacıları, saldırganların DBatLoader’ı dağıtmak için Windows Kullanıcı Hesabı Denetimi (UAC) baypasını kötüye kullandığı yeni bir kimlik avı kampanyası gözlemledi. Remcos RAT kötü amaçlı yazılımı. Bu kampanyanın birincil hedefleri Doğu Avrupa’daki kuruluşlardır.
Remcos RAT Sağlayan Yeni Kimlik Avı Kampanyası
SentinelOne’a göre dolandırıcılar, Remcos RAT’ı dünyanın dört bir yanındaki işletmelere ve kurumlara dağıtmak için DBatLoader kötü amaçlı yazılım yükleyicisini kullanıyor. Doğu Avrupa. Saldırganlar, kurbanları cezbetmek için hedef bölgelerindeki tanınmış kurumlar gibi gerçek kaynaklardan gelmiş gibi görünen e-postaları kullanır.
Saldırganlar, kullanıcıları e-postanın içeriğindeki kötü amaçlı bağlantıya tıklamaya ikna etmeyi başardıklarında, kötü amaçlı yazılım yükleyiciden kolayca yararlanır, Windows UAC’yi atlar ve Remcos RAT’ı düşürür.
Saldırı Nasıl Gerçekleşir?
Saldırı göndererek başlar kimlik avı e-postaları faturalar gibi mali dosyalar olarak gizlenmiş. Bu e-postalar, DBatLoader yürütülebilir dosyasını içeren bir tar.lz arşivi içerir.
Kurban bu e-postayı kontrol ettiğinde, LibreOffice, PDF veya MS Office belgesi kılığında DBatLoader’ın ilk aşama yükünü açmaya ikna edilir. Bu yapıldıktan sonra, ikinci aşama yük, biri en az bir aydır etkin olan Google Drive veya Microsoft OneDrive’dan alınır.
SentinelOne’dan Aleksandar Milenkoski, “Bir kullanıcı ekin sıkıştırmasını açıp içindeki yürütülebilir dosyayı çalıştırdığında, DBatLoader bir genel bulut konumundan gizlenmiş bir ikinci aşama yük verisi indirir ve yürütür” dedi.
SentinelOne’a göre Blog yazısıRAT yalnızca DBatLoader aşağıdakileri içeren bir Windows UAC kaçırma tekniği aracılığıyla bir Windows toplu komut dosyası yürüttüğünde yüklenir. DLL kaçırma ve güvenilir dizinlerle alay etmek. Windows, easinvoker.exe aracılığıyla güvenilir bir dizinde (sahte %SystemRoot%System32 dizini) bulunduğunda bir UAC istemi yayınlamadan işlemi otomatik olarak yükseltir.
Remcos RAT ve DBatLoader Hakkında
DBatLoader, kötü amaçlı yazılım yükleme yeteneklerini barındırmak için genel bulut altyapısını kötüye kullanır. Remcos, siber suçlular tarafından casusluk kampanyalarında sıklıkla kullanılan ve genellikle kimlik avı e-postaları yoluyla dağıtılan, zengin özelliklere sahip bir RAT’dir.
Ukraynalı CERT geçenlerde bildirdi Remcos tabanlı kimlik avı kampanyaları casusluk yapmak için devlet kurumlarını hedef almak. Bu örnekte saldırganlar, parola korumalı arşivleri kötü amaçlı e-posta ekleri olarak kullandı.
Bu kötü amaçlı yazılım, tuş vuruşlarını, videoyu, sesi, ekran görüntülerini ve cihaz veya sistemle ilgili bilgileri toplayabilir. Ayrıca, sisteme ek kötü amaçlı yazılım da gönderebilir.
ALAKALI HABERLER
- Yeni Python Kötü Amaçlı Yazılımı Windows Cihazlarını Vuruyor
- ElectroRat, MacOS, Windows, Linux cihazlarına vurur
- 2022’deki Yeni Kötü Amaçlı Yazılımların %96’sı Windows’u Hedefledi
- Çinli Bilgisayar Korsanları Kötü Amaçlı Yazılımları Windows Logosunda Gizliyor
- LodaRAT Windows kötü amaçlı yazılımı Android Telefonları vurur
- OpenAI’nin ChatGPT’si Polimorfik Kötü Amaçlı Yazılım Oluşturuyor