Güney Koreli araştırmacılar, Hangul Kelime İşlemci ve Microsoft Office gibi yasal üretkenlik ve ofis yardımcı programlarının korsan kopyalarının ve crackli etkinleştiricilerinin, kötü amaçlı programları gizlemek için kötü niyetli şekilde kullanıldığını gözlemlediler.
Kötü amaçlı yazılım, etkilenen sistemlerde düzenli yükseltmeler planlayarak kalıcılığı korur ve bu da kötü amaçlı yazılımın daha yeni türlerinin her hafta birkaç kez tutarlı bir şekilde yüklenmesine yol açar.
Microsoft Office ve Diğer Programların Kötü Amaçlı Korsan Kopyaları
AhnLab araştırmacıları, saldırganların popüler yardımcı yazılımların kötü amaçlı kopyalarını oluşturup dağıttıklarını keşfetti. Bu kopyalar ortak dosya paylaşım platformları ve torrent web siteleri aracılığıyla dağıtıldı. Operasyon, gerekli lisans ücretini ödemeden yazılımın ücretsiz kopyalarını edinmek isteyen kullanıcılardan yararlanıyor.
İndirilip çalıştırıldığında, programlar genellikle Microsoft Office veya Hangul kelime işlemcisi gibi programlar için ikna edici kırık yükleyiciler veya etkinleştiriciler olarak görünür. İlk indirici .NET’te geliştirilmiş olsa da, saldırganların daha karmaşık saldırı tekniklerine yöneldiği görülüyor.
Kötü amaçlı yazılım, saldırısının bir sonraki aşamasına yönelik talimatlarını saldırganlar tarafından işletilen Telegram veya Mastodon kanallarından alıyor. Bu kanallar, kötü amaçlı yükleri barındıran Google Drive veya GitHub URL’lerine yönlendiren şifrelenmiş Base64 dizeleri içerir.
Bu kötü amaçlı veriler, sistemlerde yaygın olarak bulunan ve az yer kaplayan meşru 7-zip arşivleme aracı kullanılarak indirilir ve şifreleri çözülür. Araştırmacılar, şifresi çözülen veri yüklerinin, kurbanın sistemine ek kötü amaçlı yazılım bileşenleri yüklemek ve çalıştırmak için PowerShell talimatlarını içerdiğini keşfetti.
Etkilenen sistemlere yüklenen kötü amaçlı yazılım türleri şunları içerir:
- – OrcusRAT: Tuş kaydı, web kamerası erişimi ve uzaktan ekran kontrolü gibi kapsamlı özelliklere sahip bir uzaktan erişim truva atı.
- XMRig Kripto Madencisi: Algılamayı önlemek için yoğun kaynak kullanan uygulamalar çalışırken madenciliği durduracak şekilde yapılandırılmıştır. Ayrıca rakip madencileri ve güvenlik ürünlerini de öldürür.
- 3Vekil: Bir arka kapı proxy sunucusu açmak için kendisini meşru süreçlere enjekte eder.
- PureCrypter: Saldırganın kontrol ettiği sunuculardan ek kötü amaçlı yükleri alıp çalıştırır.
- Antivirüs: Yapılandırma dosyalarını tekrar tekrar değiştirerek güvenlik ürünlerini bozar.
Komutlar, Windows işletim sisteminde bulunan yerel Windows Görev Zamanlayıcı’nın kullanımı yoluyla sistem üzerinde kalıcılığı korumaya yönelik talimatlar içeren bir güncelleyici içerir. Araştırmacıların paylaştığı C&C sunucu adresleri de bunların minecraft rpg sunucusu kılığına girdiğini gösteriyor.
Sürekli Yeniden Enfeksiyon ve Dağıtım
Araştırmacılar, kötü amaçlı yazılımın kendisini güncelleme ve ek kötü amaçlı yazılım yükleri indirme yeteneği nedeniyle, ilk bulaşma kaldırıldıktan sonra bile sistemlerin virüslü kalabileceğini söyledi. Saldırganların, dosya tespitini atlamak için etkilenen sistemlere her hafta birkaç kez yeni kötü amaçlı yazılım dağıttıklarını belirttiler.
Araştırmacılar, bu saldırılarda ele geçirilen sistemlerin sayısının, kayıtlı görev zamanlayıcı girişlerinin, daha önceki kötü amaçlı yazılımların kaldırılmasına rağmen, etkilenen sistemlere ek kötü amaçlı bileşenler yüklemesi nedeniyle artmaya devam ettiğini söyledi.
Araştırmacılar, Güney Koreli kullanıcılara, dosya paylaşım siteleri yerine resmi kaynaklarından yazılım ve programlar indirmelerini tavsiye etti. Sistemlerine zaten virüs bulaşmış olabileceğinden şüphelenen kullanıcılar, ek kötü amaçlı yazılım bileşenlerinin indirilmesini engellemek için ilgili görev zamanlayıcı girişlerini kaldırmalı ve antivirüs yazılımlarını mevcut en son sürümlere güncellemelidir.
Araştırmacılar ayrıca güvenlik ihlali göstergelerini, saldırıda işaretlendiği tespit edilen kategorileri, saldırıda kullanılan dosyaların MD5 karmalarını, ilgili C&C sunucu adreslerini ve saldırı sırasında gözlemlenen şüpheli davranışları da paylaştı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.