Güney Koreli kullanıcıları hedef alan karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıktı ve Remcos uzaktan erişim truva atını (RAT), meşru VeraCrypt şifreleme yazılımı gibi görünen aldatıcı yükleyiciler aracılığıyla dağıttı.
Devam eden bu saldırı kampanyası öncelikle yasadışı çevrimiçi kumar platformlarına bağlı bireylere odaklanıyor, ancak güvenlik uzmanları, şifreleme araçlarını indiren sıradan kullanıcıların da bu planın kurbanı olabileceği konusunda uyarıyor.
Bu operasyonun arkasındaki tehdit aktörleri, kötü amaçlı veriyi yaymak için iki farklı dağıtım yöntemi kullanıyor.
İlk yaklaşım, kumar sitesi hesapları için engellenenler listelerini kontrol ediyor gibi görünen sahte veritabanı arama programlarını içerirken, ikincisi, gerçek VeraCrypt yardımcı programı yükleyicileri gibi görünüyor.
.webp)
Her iki dağıtım kanalının da, web tarayıcıları ve Telegram gibi mesajlaşma platformları aracılığıyla, şüphelenmeyen kurbanları kandırmak için “*****usercon.exe” ve “blackusernon.exe” gibi dosya adlarını kullanarak kötü amaçlı yazılım dağıttığı gözlemlendi.
ASEC analistleri, sahte yükleyicilerin yürütüldükten sonra kaynak bölümlerinde gizlenmiş kötü amaçlı VBS komut dosyalarını dağıttıklarını tespit etti.
Bu komut dosyaları, etkinleştirilmeden önce rastgele dosya adlarıyla sistemin geçici dizinine yazılır.
Kötü amaçlı yazılım daha sonra, gizlenmiş VBS ve PowerShell komut dosyalarının birden çok aşamasını içeren karmaşık bir enfeksiyon zincirini başlatır ve sonuçta saldırganlara güvenliği ihlal edilmiş sistemler üzerinde tam uzaktan kontrol sağlayan Remcos RAT yükünü sunar.
Bu kampanyanın etkisi, basit yetkisiz erişimin ötesine uzanıyor.
Remcos RAT, tuş kaydı, ekran görüntüsü yakalama, web kamerası ve mikrofon kontrolü ve web tarayıcılarından kimlik bilgisi çıkarma dahil olmak üzere kapsamlı veri hırsızlığı yetenekleriyle donatılmıştır.
Bu kötü amaçlı yazılımın bulaştığı kurbanlar, hassas kişisel bilgilerinin, oturum açma bilgilerinin ve finansal verilerinin ele geçirilmesi ve saldırganların komuta ve kontrol sunucularına aktarılması gibi önemli risklerle karşı karşıyadır.
Çok Aşamalı Enfeksiyon Zinciri ve Yük Teslimatı
Saldırı, güvenlik yazılımı tarafından tespit edilmekten kaçınmak için tasarlanmış, sekiz aşamalı karmaşık bir enfeksiyon süreci kullanıyor.
İlk damlalık yürütüldükten sonra kötü amaçlı yazılım, yanıltıcı dosya uzantılarına sahip karmaşık VBS ve PowerShell komut dosyalarını kullanarak beş komut dosyasıyla yazılmış indirme aşamasından geçiyor.
Bu ara komut dosyaları, aslında Base64 kodlu kötü amaçlı yükleri yerleştirirken sahte yorumlar, önemsiz veriler ve JPG görüntüleri gibi görünen dosyalar içerir.
.webp)
Enfeksiyon zinciri, Discord web kancaları aracılığıyla saldırganlarla iletişim kuran .NET tabanlı bir enjektörle doruğa ulaşıyor.
Bu enjektör, uzak sunuculardan son Remcos RAT yükünü indirir, şifresini çözer ve kalıcılığı korumak için doğrudan AddInProcess32.exe işlemine enjekte eder.
Özellikle güvenlik araştırmacıları, bazı varyantların yapılandırma ayarlarında ve kayıt defteri anahtarlarında Kore dili dizeleri kullandığını keşfetti; bu da kampanyanın Korece konuşan kullanıcılara yönelik olduğunu gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
