Gelişmiş, çok aşamalı bir kötü amaçlı yazılım kampanyası, tehlikeli bilgi çalan kötü amaçlı yazılımları dağıtmak için PhantomVAI Yükleyiciyi kullanarak dünya çapındaki kuruluşları hedef alıyor.
Dikkatlice hazırlanmış kimlik avı e-postalarıyla başlayan saldırı zinciri, üretim, eğitim, sağlık, teknoloji, kamu hizmetleri ve kamu sektörlerindeki işletmeler için önemli bir tehdit olarak ortaya çıktı.
Daha önce Katz Stealer Loader olarak bilinen bu kötü amaçlı yazılım ailesi, AsyncRAT, XWorm, FormBook ve DCRat gibi çok sayıda bilgi hırsızı çeşidi sunacak şekilde gelişti ve bu da onu siber suç cephaneliğinde çok yönlü bir araç haline getirdi.
Bulaşma, şüphelenmeyen kullanıcıların meşru iş iletişimleri gibi görünen kötü amaçlı ekler içeren kimlik avı e-postaları almasıyla başlar.
Bu e-postalar, mağdurları arşivlenmiş JavaScript veya VBS dosyalarını açmaya teşvik etmek için satış sorguları, ödeme bildirimleri ve hukuki konular gibi sosyal mühendislik temalarını kullanır.
Bu saldırıları özellikle sinsi yapan şey, tehdit aktörlerinin e-posta güvenlik filtrelerini etkili bir şekilde aşarak Latin karakterleri görsel olarak benzer Unicode karakterlerle değiştirdiği homografi saldırılarının kullanılmasıdır.
.webp)
İlk kimlik avı aşamasından sonra Palo Alto Networks analistleri, saldırının birden fazla karmaşık katman aracılığıyla ilerlediğini tespit etti.
Kötü amaçlı komut dosyaları büyük ölçüde gizlenmiştir ve açıldıktan sonra otomatik olarak yürütülen Base64 kodlu PowerShell komutlarını içerir.
Bu PowerShell komut dosyaları, saldırganların kontrolündeki sunuculardan zararsız bir GIF veya resim dosyası gibi görünen dosyaları indirir.
.webp)
Ancak bu görüntü dosyaları, Base64 kodlu DLL dosyalarının görüntü verilerinin içine \<\ gibi belirli sınırlayıcı dizeler arasına yerleştirildiği steganografi tekniklerini kullanarak yükleyici yükünü gizler.
Enfeksiyon Mekanizması ve Kaçınma Teknikleri
Kodlanmış metin çıkarıldıktan sonra PowerShell betiği kodu çözer ve C# ile yazılmış PhantomVAI Yükleyici DLL’sini yükler. Yükleyici, son yükü dağıtmadan önce birden fazla kritik işlevi gerçekleştiren VAI adı verilen bir yöntemi yürütür.
VMDetector GitHub projesini temel alan kodu kullanarak kapsamlı sanal makine algılama kontrolleri gerçekleştirir.
Kötü amaçlı yazılım, sanallaştırılmış bir ortamda çalışıp çalışmadığını belirlemek için bilgisayar bilgileri, BIOS ayrıntıları, sabit disk özellikleri ve Windows hizmetleri dahil olmak üzere sistem özelliklerini inceler.
Herhangi bir kontrol olumlu sonuç verirse PhantomVAI Loader derhal sonlandırılır.
Yükleyici, saldırgan tarafından kontrol edilen URL’lerden dosya indirmek ve çalıştırmak için PowerShell komutlarını yürüten zamanlanmış görevler aracılığıyla veya Windows Kayıt Defteri Çalıştırma anahtarları oluşturarak kalıcılık sağlar.
.webp)
Son olarak, son veriyi bir komut ve kontrol sunucusundan indirir ve bunu, çoğunlukla .NET Framework dizinindeki MSBuild.exe’yi hedef alan süreç boşaltmayı kullanarak meşru sistem süreçlerine enjekte eder.
Bu kaçırma mekanizması, kötü amaçlı yazılımın bilgi çalma yetenekleri sunarken tespit edilmeden çalışmasına olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
