Bir tehdit oyuncusu, yeraltı forumlarında yeni bir uzaktan erişim Trojan’ın (sıçan) reklamını yaparak, meşru uzaktan erişim aracına tamamen tespit edilemez (FUD) bir alternatif olarak pazarlanıyor.
Kötü amaçlı yazılım, modern güvenlik savunmalarını atlamak için tasarlanmış bir dizi gelişmiş özellik ile satılıyor ve sofistike, kullanıma hazır siber suç araçlarında büyüyen bir eğilime işaret ediyor.
Satıcı, aracın hem statik hem de çalışma zamanı analizi sırasında sıfır algılama sağladığını iddia ederek başlangıç erişim ve yük dağıtım işlemleri için güçlü bir tehdit haline getiriyor.
Bu gelişme, kötü niyetli aktörlerin güven sömürme ve meşru yazılım ve süreçleri taklit ederek tespitten kaçınma çabalarının altını çizmektedir.
Güvenliği ileri kaçak ile atlamak
Bu yeni sıçanın birincil satış noktası, hem Google Chrome hem de Windows SmartScreen’den güvenlik uyarılarını atlama yeteneğidir.
Tehdit oyuncusu bunun, kötü amaçlı yazılımların geçerli bir uzatılmış doğrulama (EV) sertifikasıyla bir araya getirilmesiyle gerçekleştirildiğini iddia ediyor.
EV sertifikaları, tarayıcıların genellikle yeşil bir çubuk veya şirketin adını göstermesine neden olan ve kurbanda yanlış bir güvenlik duygusu aşılamasına neden olan yüksek güvence altındaki bir dijital kimlik standardıdır.
Paket ayrıca antibot mekanizmaları ve pelerinli açılış sayfaları içerir. Bu özellikler, kötü amaçlı yazılımların güvenlik tarayıcılarına ve kum havuzlarına iyi huylu içerik sunmasına izin verirken, otomatik analizden kaçınmak için ortak bir taktik olan gerçek hedeflere kötü amaçlı yük sunar.
Sağlanan reklam, teslimat için tipik bir sosyal mühendislik planı gösteren ikna edici ama hileli bir Adobe Acrobat Reader indir sayfasını sergiliyor.
Satıcının gönderisine göre, sıçan uzak bir izleyici ile donatılmıştır ve saldırgan bir makinenin masaüstü üzerinde doğrudan görsel kontrolü verir.
Bu özellik gerçek zamanlı izleme, veri eksfiltrasyonu ve etkileşimli sistem manipülasyonuna izin verir. Ayrıca, araç yürütülebilir dosyasını yüklemek için PowerShell tabanlı bir komut kullanır. Bu sözlü olmayan teknik, öncelikle diskteki dosyaları taramaya odaklanan geleneksel antivirüs çözümlerinden gizli kalmasına yardımcı olur.
Aktör, aracın “FUD yükleyici” olarak kullanılabileceğini açıkça belirtir, bu da birincil işlevinin, fidye yazılımı, casus yazılım veya bankacılık truva atları gibi ikincil yükleri dağıtmadan önce bir hedef sistemde kalıcı ve gizli bir dayanak oluşturmak olabileceğini belirtir.
Satıcı bir demo sunar ve 24 çalışma saati içinde teslimat vaat ederek profesyonel ve operasyonel bir hizmet önerir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.