Yeni bir Orcinius Truva Atı keşfedildi, enfeksiyonunu gizlemek için VBA Stomping kullanıyor. Çok aşamalı truva atı güncel kalmak ve ikinci aşama yüklerini iletmek için Dropbox ve Google Docs’u kullanıyor.
Genellikle, VBA’nın ezilmesi, bir Microsoft Office belgesindeki VBA kaynak kodunu kaldırır ve belge dosyasında yalnızca p-kodu olarak bilinen makro kodunun derlenmiş bir biçimini bırakır.
SonicWall Capture Labs tehdit araştırma ekibi, Cyber Security News’e yaptığı açıklamada, “Kötü amaçlı yazılım, çalışan pencereleri ve tuş vuruşlarını izlemek ve kayıt defteri anahtarlarını kullanarak kalıcılık oluşturmak için Windows’a bağlanan gizli bir VBA makrosu içeriyor” dedi.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Saldırı Nasıl Gerçekleştiriliyor?
İlk bulaşma yolu bir Excel elektronik tablosudur, şu anki örnekte “CALENDARIO AZZORTI.xls”.
İtalyan takvimine benzeyen bir takvimde, farklı şehirlerin fatura döngülerini ele alan üç çalışma sayfası yer alıyor.
Dosya, orijinal kaynak kodunu yok eden ve yalnızca derlenmiş p kodunu bırakan “VBA stomping” olarak bilinen bir yöntem kullanılarak değiştirilmiş bir VBA makrosu içeriyor.
Olevba’nın da belirttiği gibi bu, belgenin içindeki makronun incelenmesinin hiçbir şey göstermeyeceği ya da dosya açılıp kapatıldığında yürütülecek kodun güvenli bir kopyasını göstereceği anlamına geliyor.
Dosya, çalışma zamanı sırasında makroyu başlatacak ve aşağıdaki görevleri gerçekleştirecektir:
- Uyarıları gizlemek için kayıt defteri anahtarlarını kontrol edin ve yeni bir anahtar oluşturun.
- Şu anda açık olan tüm pencereleri listeleyin.
- Azim gösterin.
- Her iki kodlanmış URL’ye de erişin ve indirmeyi deneyin.
- Klavye girişine dikkat edin.
- İndirme ve etkinleştirme girişimleri için birçok rastgele zamanlayıcı oluşturun.
URL’ler:
- www-env.dropbox-dns[.]com
- hxxps://docs.google[.]com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=indir
- hxxps://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
Araştırmacılara göre, örnek ve belirtilen URL’ler Remcos, AgentTesla, Neshta, HTMLDropper ve “Synaptics.exe” olarak poz veren ve VirusTotal’da bulunan diğer kötü amaçlı web sitelerine bağlandı. Her iki konumdaki sayfalara çalışma zamanı sırasında erişilemedi.
Zararlı siber faaliyetlerin artması nedeniyle yanlış yorumlanma, tırmanma ve etkilerin yayılma riskleri aşırı düzeydedir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files