Windows Hesap Makinesi’ni kullanarak, QBot kötü amaçlı yazılım operatörleri, zararlı yüklerini güvenliği ihlal edilen bilgisayarlara yandan yükleyebilir. Kısacası, Windows Hesap Makinesi tehlikeli kod dağıtmak için kullanılıyor.
DLL yandan yükleme olarak bilinen bir saldırı yöntemi, Dinamik Bağlantı Kitaplıklarının (DLL’ler) düzenlenme biçiminden yararlanmak için Windows’ta sıklıkla kullanılan bir saldırı biçimidir.
Sahte DLL, meşru bir DLL’nin kimliği varsayılarak, yanlış DLL’yi bir işletim sistemi dizinine yerleştirerek ve yüklemek için gerçek DLL yerine yanlış DLL’yi kullanarak oluşturulur.
QBot (aka Qakbot) aslen bir bankacılık truva atıdır, ancak Windows sistemlerine saldıran daha kalıcı bir kötü amaçlı yazılım türüne dönüştüğü için kötü amaçlı yazılım düşürücüye dönüştü.
Enfeksiyon Zinciri
Fidye yazılımı çeteleri saldırılarını başlattığında, bu kötü amaçlı yazılım tarafından gerçekleştirilen bir süreç olan saldırının ilk adımı Kobalt Strike işaretleridir.
Şu anda Windows 7 Calculator uygulaması, 11 Temmuz’dan beri DLL yandan yükleme saldırılarını gerçekleştirmek için QBot tarafından istismar ediliyor. Malspam kampanyaları spam göndermek için hala bu yöntemi kullanıyor.
Cyble’daki araştırmacılar tarafından, savunucuların bu yeni tehdide karşı korunmalarına yardımcı olmak için yeni bir QBot enfeksiyon zinciri bildirildi.
En son kampanya, içinde bir HTML dosyasının eklendiği e-postaları kullandı. Bu HTML dosya eki, en son kampanyada kullanılan e-postalara eklenmiş bir ISO dosyası içeren parola korumalı bir ZIP arşivini indirir.
ZIP dosyasında bulunan bir HTML dosyası, ZIP dosyasını açmak için kullanılabilecek bir parola içerir. Arşivi kilitleyerek virüsten koruma yazılımı tarafından algılanmayı önlemek için tasarlanmıştır.
ISO’ya dahil olan birkaç şey vardır ve aşağıda bunların hepsinden bahsettik: –
- Bir .lnk dosyası
- Yasal bir calc .exe
- WindowsCodecs.dll
- 7533.dll
ISO dosyasını yükledikten sonra, kullanıcı yalnızca ISO dosyasındaki .LNK dosyasını görebilir. Bu kötü amaçlı dosya, önemli bilgiler içeren bir PDF dosyası veya Microsoft Edge tarayıcı belgesi gibi görünecek şekilde gizlendi.
Dosyaların özellikler iletişim kutusundaki kısayol, Windows’un Hesap Makinesi uygulamasını gösterir. Kısayolu tıkladığınızda, bir komut istemi penceresi açılacak ve Calc.exe dosyasını çalıştırmanız istenecektir.
İlk başlatmada meşru bir WindowsCodecs DLL dosyası otomatik olarak aranır ve yüklendiğinde Windows 7 Hesap Makinesi tarafından yüklenmeye çalışılır.
Öneriler
Windows 10 Calc.exe ve sonraki sürümleri artık DLL tarafında yükleme güvenlik açığını desteklememektedir. Bu nedenle tehdit aktörleri Windows 7 sürümünü hedef alıyor. Güvenlik analistleri tarafından önerilen azaltıcı önlemler şunlardır: –
- Bilinmeyen veya alakasız göndericiler tarafından gönderilen e-postalar açılmamalıdır.
- Güvenilir olmayan kaynaklardan korsan yazılım indirmemeniz önerilir.
- Parolalar güçlü ve benzersiz olmalıdır.
- Çok faktörlü bir kimlik doğrulama sistemi uygulanmalıdır.
- Belirli aralıklarla sonra şifrelerinizi güncel tutmak için mutlaka güncelleyin.
- Daima güvenilir ve sağlam anti-virüs yazılımı ve araçları kullanın.
- E-postalarda aldığınız tüm bağlantıların veya eklerin orijinalliğini, açmadan önce doğruladığınızdan emin olun.
- Torrent ve warez gibi kötü amaçlı yazılımı yaymak için kullanılabilecek tüm URL’lerin engellendiğinden emin olun.
- Ağ düzeyinde kötü amaçlı yazılım veya Truva atları tarafından veri sızmasını önlemek için işaretçiyi izlemelisiniz.
- Çalışanlarınıza verilerini zarardan koruyan bir Veri Kaybını Önleme (DLP) çözümü sağlayın.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.