Yakın zamanda Cyble araştırmacıları tarafından kötü niyetli bir IcedID kötü amaçlı yazılım kampanyası tespit edildi.
Son yıllarda COVID-19 pandemisine yönelik farkındalığın artması nedeniyle Zoom, son yıllarda giderek daha popüler hale geldi. COVID-19 pandemisinin ortaya çıkmasından bu yana uzaktan çalışmada dramatik bir artış gözlemlendi ve sanal iletişim araçları giderek daha önemli hale geldi.
Kötü amaçlı yazılımların çoğu, kötü amaçlı yazılım dağıtma aracı olarak bu tür yazılım araçlarını kullanan tehdit aktörleri tarafından kullanıcıların makinelerine teslim edilir.
Zoom Uygulaması Üzerinden IcedID Bankacılık Kötü Amaçlı Yazılımı
Hassas bilgileri çalmak ve kurbanların bilgisayarlarına ek kötü amaçlı yazılım yüklemek amacıyla çok sayıda işletme bu kampanya tarafından hedefleniyor.
Bir yükleyici olarak hareket etme kapasitesine ek olarak, IcedID ayrıca internetten ek modüller indirebilir veya diğer kötü amaçlı yazılım ailelerini de gönderebilir.
En yaygın olarak, IcedID, kötü amaçlı Office dosyalarına eklenen spam e-posta ekleri yoluyla yayılır. Bu kampanyada saldırganlar, IcedID yükünü kurbana teslim etmek için bir kimlik avı web sitesi kullandıklarından farklı bir şey denediler.
Bu mekanizma veya prosedür, IcedID’nin kendisi tipik olarak bu şekilde dağıtılmadığından, IcedID yükünü bir kurbana teslim etmenin alışılmadık bir yoludur.
Teknik Analiz
Saldırganlar, insanları tıklamaya ikna etmek için indirme düğmeli bir kimlik avı web sitesi oluşturdu. Kullanıcılardan, Yakınlaştır düğmesine tıkladıklarında aşağıdaki URL’den bir Yakınlaştırma yükleyici dosyası indirmelerini istedi: –
- hxxps[:]//yakınlaştırmayı keşfet[.]com/products/app/ZoomInstallerFull[.]exe
“ZoomInstallerFull.exe” dosyasını çalıştırmanın bir sonucu olarak %temp% klasörüne bırakılan iki ikili dosya vardır ve aşağıda bunlardan bahsetmiştik:-
ikm[.]msı: Yasal bir yükleyicidir ve Zoom uygulamasını kullanıcının sistemine yükler.
yapımcı[.]dll: Bu dosya çeşitli kötü amaçlı faaliyetler yürütür
Artık “init” parametresi ile “maker.dll” dosyasının çalıştırılması bu noktada “ZoomInstallerFull.exe” tarafından rundll32.exe yardımıyla yapılmaktadır.
Program ayrıca şüpheye mahal vermemek için “ikm.msi” adlı Zoom uygulamasının bir yükleyicisini de çalıştırır ve bu yükleme aşağıdaki dizinde yapılır:-
Bu yöntemin kullanılması, tehdit aktörlerinin niyetlerini gizlemelerine ve kullanıcıları, yükledikleri Zoom yazılımının yasal olduğuna inandırmalarına olanak tanır.
IcedID kötü amaçlı yazılımı, “maker.dll” olarak bilinen kötü amaçlı DLL dosyası tarafından yüklenir ve bu programın yürütülmesi, orijinal IcedID DLL dosyasını belleğe yükler.
Yükleme işlemi sırasında, IcedID kötü amaçlı yazılımı bilgisayarın belleğine 64 bit DLL dosyası olarak yüklendi. Ve bu, aşağıdaki SHA256 hash ile yapılır: –
- 2f3dddb9952e0268def85fbe47f253056077894ce6bd966120654324787b83be
Kötü amaçlı yazılım çalıştırılır çalıştırılmaz, verilerin şifresini çözmeye başlar. Ardından, C&C için URL’yi ve sunucudan Kampanya Kimliğini alır.
IcedID bankacılık kötü amaçlı yazılımı, uzun yıllardır dünyanın her yerindeki kullanıcıları etkileyen en gelişmiş ve uzun ömürlü virüslerden biridir.
Çok sayıda iyi bilinen tehdit, aşağıdakiler de dahil olmak üzere çeşitli zamanlarda onu sonraki bir yük olarak dağıtmıştır: –
öneriler
Aşağıda tüm önerilerden bahsettik: –
- İnternetten korsan yazılım indirmediğinizden emin olun.
- Çok faktörlü kimlik doğrulamayı zorunlu kılın ve güçlü parolalar kullanın.
- Otomatik yazılım güncellemelerinin etkinleştirildiğinden emin olun.
- Saygın bir anti-virüs ve internet güvenlik programından yararlanın.
- Güvenilir olmayan kaynaklardan gelen e-posta eklerini veya bağlantıları, önce orijinalliklerini doğrulamadan açmayın.
- Çalışanlara kimlik avı saldırılarına ve güvenilmeyen URL’lere karşı kendilerini nasıl koruyacakları hakkında bilgi verin.
- Kötü amaçlı yazılım dağıtan URL’ler engellenmelidir.
- Verilerin kötü amaçlı yazılım veya Truva atları tarafından sızmasını önlemek için işaretçiyi ağ düzeyinde izlemek gerekir.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin