Kullanılabilirlikte artış 100 dolardan daha düşük fiyata satılan kötü amaçlı yazılım “yemek kitleri”, c’de bir artışa neden oluyorGenellikle e-postalara eklenen meşru görünen Excel ve PowerPoint dosyalarına gömülü olan uzaktan erişim Truva atlarını (RAT’lar) kullanan kampanyalar.
Bugün “2023 3. Çeyrek Tehdit Analizleri Raporu”nu yayınlayan HP Wolf Security’ye göre bu durum, Parallax RAT bulaşmış DLL’lerin bulunduğu Excel dosyalarında önemli bir artış gözlemliyor. HP’nin kıdemli kötü amaçlı yazılım analisti Alex Holland’a göre dosyalar, alıcılara faturalarda yasal olarak görünüyor ve tıklandığında kötü amaçlı yazılımı başlatıyor. Paralaks RAT kötü amaçlı yazılım kitlerinin hack forumlarında ayda 65 dolara satıldığını da ekliyor.
HP’nin raporuna göre siber suçlular, GitHub gibi görünüşte meşru depolarda barındırılan XWorm gibi kötü amaçlı yazılım kitleriyle saldırgan olmayı hedefleyenleri de hedef aldı. Araştırmacılara göre, yeni DiscordRAT 2.0 özelliğine sahip olanlar gibi diğerleri de yakın zamanda ortaya çıktı.
Holland, çeyrek boyunca telemetrisinde gördüğü tehditlerin %80’inin e-posta tabanlı olduğunu vurguladı. Ve ilginç bir kırışıklıkta, bazıları Bazı RAT kampanyalarında bilgili saldırganların deneyimsiz olanları hedef almasıyla siber suçlular kendi hedeflerinin peşinden gidiyor gibi görünüyor.
Paralaks Yükseliyor
HP raporuna göre Parallax RAT, 2023’ün ikinci çeyreğindeki en popüler 46’ncı yükten, bir sonraki çeyrekte yedinci sıraya yükseldi. Holland, “Bu, kötü amaçlı yazılımlarını dağıtmak için bu dosya biçimini kullanan saldırganların sayısında gerçekten büyük bir artış” diyor.
Örneğin, araştırmacılar bir “Jekyll ve Hyde” saldırısı çalıştıran bir Paralaks RAT kampanyası tespit etti: “Kullanıcı taranmış bir fatura şablonunu açtığında iki iş parçacığı çalışır. Bir iş parçacığı dosyayı açarken diğeri perde arkasında kötü amaçlı yazılım çalıştırır ve bu da kullanıcının işini zorlaştırır.” Rapora göre kullanıcılar bir saldırının devam ettiğini bildirecekler.
Morphisec’te kötü amaçlı yazılım araştırmacısı Arnold Osipov’un Mart 2020 tarihli blog gönderisine göre Paralaks, daha önce pandeminin başlangıcında çeşitli kötü amaçlı yazılım kampanyalarıyla ilişkilendiriliyordu. Osipov o dönemde şöyle yazmıştı: “Gelişmiş tespit çözümlerini aşabiliyor, kimlik bilgilerini çalabiliyor, uzaktan komut çalıştırabiliyor.”
Osipov, Dark Reading’e HP’nin bildirdiği Paralaks kullanan saldırılarda belirli bir artış görmediğini ancak genel olarak RAT’ların 2023’te büyüyen bir tehdit haline geldiğini söylüyor.
RAT’lar Siber Saldırı Sahnesini İstila Ediyor
RAT etkinliğindeki çeşitli artışlar arasında, Check Point Research’ün, ilk olarak 2016’da ortaya çıkan ve Remcos olarak bilinen bir RAT bulaşmış Microsoft Office dosyalarındaki artışa işaret ettiği Temmuz ayındaki artış da yer alıyor. Bu kötü amaçlı dosyaların çoğu, tehdit tarafından oluşturulan sahte web sitelerinde ortaya çıktı aktörler.
HP’nin altını çizdiği yükselişte olan bir diğer RAT tabanlı kampanya ise Vjw0rm JavaScript kötü amaçlı yazılımını gizleyen Houdini’dir. Houdini, artık işletim sistemi tabanlı komut dosyası oluşturma özelliklerinden yararlanan bilgisayar korsanlığı formlarında kolayca elde edilebilen 10 yıllık VBScript tabanlı bir RAT’tır.
Microsoft’un VBScript’i kullanımdan kaldırmayı planlaması nedeniyle Houdini ve Paralaks’tan kaynaklanan tehditlerin kısa ömürlü olabileceğini belirtmekte fayda var. Microsoft bu ayın başlarında VBScript’in yalnızca Windows’un gelecek sürümlerinde kullanılabileceğini, yalnızca talep üzerine kullanılabileceğini ve sonuçta artık kullanılamayacağını duyurmuştu.
Ancak Holland, bunun defans oyuncuları için iyi bir haber olduğunu ancak hücum oyuncularının başka bir şeye yöneleceğini söylüyor.
“Gelecekte saldırganların VBScript kötü amaçlı yazılımlarından ve hatta muhtemelen JavaScript kötü amaçlı yazılımlarından Windows’ta desteklenmeye devam edecek biçimlere (PowerShell ve Bash gibi) geçiş yapmasını bekliyoruz” diyor. “Ayrıca saldırganların bu kodlama dillerini kullanarak uç nokta güvenliğini aşmak için ilginç veya yeni gizleme teknikleri kullanmaya daha fazla odaklanmasını bekliyoruz.”