Mostererat kötü amaçlı yazılım, kimlik avı aracılığıyla pencereleri hedefler, güvenliği gelişmiş taktiklerle atlar ve bilgisayar korsanlarına tam uzaktan kumanda verir.
Fordiguard Labs’taki siber güvenlik araştırmacıları, Windows cihazlarını hedefleyen bir kimlik avı kampanyası aracılığıyla teslim edilen Mostererat adlı yeni bir kötü amaçlı yazılım tehdidi belirlediler. Hackread.com ile paylaşılan araştırma, bu tehdidin “yüksek şiddet” seviyesine sahip olduğu konusunda uyarıyor.
Bilgileriniz için Mostererat, saldırganların tam önünde oturuyormuş gibi bir bilgisayarın tam kontrolünü uzaktan kontrol etmelerini sağlayan bir kötü amaçlı yazılım biçimidir.
Saldırı
Saldırı, Japon kullanıcıları kandırmak için meşru iş sorguları gibi görünmek için tasarlanmış ikna edici kimlik avı e -postalarıyla başlar. Bir kurban e -postadaki kötü amaçlı bir bağlantıyı tıkladığında, tehlikeye atılan bir dosya otomatik olarak indirilir. Bu dosya daha sonra kurbanı kötü amaçlı programı içeren gömülü bir arşiv açmaya yönlendirir.
Kötü amaçlı yazılımın algılamayı önlemek için birkaç gelişmiş yöntem kullandığını belirtmek gerekir. Anahtar tekniklerden biri, başlangıçta Çinli konuşmacılar için tasarlanmış bir dil olan Easy Programlama Dili (EPL) adı verilen benzersiz bir kodlama dilini kullanmasıdır. Bu daha az yaygın dili kullanarak, bilgisayar korsanları kötü amaçlı işlemlerini analiz etmeyi zorlaştırır.
Kötü amaçlı yazılım ayrıca, ağ trafiğini engelleyerek ve hatta Windows güvenlik özelliklerini kapatarak güvenlik araçlarını ve anti-virüs yazılımını devre dışı bırakmak için aktif olarak çalışır. Ayrıca, kötü amaçlı yazılım komut ve kontrol (C2) sunucusu ile iletişimini, ağ trafiğini algılamayı ve kesmeyi çok zorlaştıran karşılıklı TLS (MTLS) adı verilen son derece gelişmiş bir yöntem kullanarak korur.
Kötü amaçlı yazılım çalıştırıldıktan sonra, AnyDesk ve Tutvnc gibi çeşitli uzaktan erişim araçlarını dağıtır. Bunlar, insanların uzaktan çalışma için kullandıkları meşru programlardır, ancak bu durumda saldırganlar onları kurbanın bilgisayarına tam erişim elde etmek için kullanırlar.
Bu, sistemi kontrol etmelerini, veri toplamalarını ve hatta daha fazla kötü amaçlı yük yüklemelerini sağlar. Kötü amaçlı yazılım ayrıca, kurban tehdidi kaldırdıklarını düşünse bile erişimi sürdürebilmesini sağlayarak idari ayrıcalıklara sahip gizli bir kullanıcı hesabı oluşturur.
Blog yazısında Fordiguard Labs, tehdidin 2020’de ilk olarak görülen bir bankacılık Truva atından bu yeni ve daha tehlikeli forma dönüştüğünü belirtti. Fortinet, Mostererat’i tespit etmek ve engellemek için korumalar geliştirdi ve kuruluşların ilk saldırıyı önlemek için çalışanlarını sosyal mühendisliğin tehlikeleri konusunda eğitmelerini öneriyorlar.
“İlk saldırı vektörünün kötü amaçlı bağlantılara ve web sitesi indirmelerine yol açan kimlik avı e -postaları olduğu göz önüne alındığında, tarayıcı güvenliği savunma için kritik bir alandır. Bilinmeyen kaynaklardan dosya indirmeden önce otomatik indirmeleri kısıtlayan ve kullanıcıları onaylama isteyen tarayıcı güvenlik politikalarını zorlayın,“ Deepwatch kıdemli siber tehdit istihbarat analisti Lauren Rucker dedi.
“Ayrıca kuruluşlar, sistem hesaplarını sistemlerin ayrıcalıkları sisteme veya güvenilirliğe yönlendirmesini önlemek için gerekli minimum ayrıcalıklarla yapılandırmalıdır.“ Ekledi.