Acronis Tehdit Araştırma Birimi (TRU) şaşırtıcı bir gelişme keşfetti: “Shadow Vector” adlı kötü niyetli bir kampanya, yeni bir saldırı vektörü olan kötü niyetli ölçeklenebilir vektör grafikleri (SVG) dosyalarını kullanan Kolombiyalı kullanıcıları aktif olarak hedefliyor.
Acil mahkeme bildirimleri olarak gizlenmiş olan bu SVG dosyaları, güvenilir ulusal kurumları taklit eden ve kurbanları tehlikeli yükleri indirmek için kandırmak için kamu güvenini sömüren mızrak aktı e-postalarına yerleştirilmiştir.
Bu kampanya, tarayıcılarda temiz bir şekilde işleme, gömülü komut dosyalarını destekleme ve genellikle geleneksel e -posta güvenlik filtrelerini atlama yetenekleri nedeniyle, artık “SVG kaçakçılığı” altında, resmi olarak SVG gibi güvenilir dosya formatlarını kötüye kullanma eğilimini temsil ediyor.
.png
)
Sofistike bir kimlik avı kampanyası Kolombiya’yı hedefliyor
Gölge Vektör Operasyonu, resmi yasal belgeleri taklit etmek için tasarlanmış SVG ekleri içeren kimlik avı e -postalarıyla başlayan titizlikle hazırlanmış bir dağıtım mekanizması kullanır.
Bu dosyalar, kullanıcıları Bitbucket, Discord CDN ve YDRAY gibi halka açık platformlarda barındırılan şifre korumalı zip arşivlerine yönlendiren daha ileri belgelere erişim olarak etiketlenmiş gömülü bağlantılar içerir.
Çıkarıldıktan sonra, bu arşivler, güvenilir bir sürecin farkında olmayan bir şekilde kötü amaçlı kod yüklediği bir tekniği DLL yandan çok aşamalı bir enfeksiyon zinciri başlatan meşru yürütülebilir ürünler ve kötü amaçlı DLL’lerin bir karışımını ortaya çıkarır.
Acronis raporuna göre, bu sonuçta Keylogging, kimlik doğrulama (bankacılık detayları dahil) ve tehlikeye atılan sistemlerin tam uzaktan kumandasını mümkün kılmak için kötü şöhretli olan Asyncrat ve Remcosrat gibi uzaktan erişim araçlarını (sıçanları) dağıtıyor.
Parola koruması kullanımı, bir kullanıcı etkileşimi katmanı ekler ve mağdur katılımını artırırken otomatik algılama olasılığını azaltır.
Çok aşamalı enfeksiyon zincirleri ile gelişen taktikler
Daha fazla teknik analiz, kampanyanın kaçınma analizinde ve kalıcılığı korumadaki karmaşıklığını ortaya koymaktadır.
Örneğin, asyncrat yükleri, otomatik ayrıştırma araçlarını bozmak için kasıtlı olarak dengelenen PE başlıkları ile “mscorlib.dll” gibi manipüle edilmiş DLL’ler içinde gizlenir.
AddInProcess32.exe gibi meşru süreçlere kötü amaçlı kod enjekte edildiği proses oyma gibi teknikler, kötü amaçlı yazılımın güvenilir sistem ikili kisvesi altında çalışmasına izin verir.
Ek olarak, Shadow Vector, VMware veya VirtualBox gibi göstergeleri tarayarak sanal ortamları veya hata ayıklayıcıları tespit ederse yürütmeyi sonlandırarak anti-analiz kontrolleri içerir.
En son yinelemeler ayrıca, JavaScript ve PowerShell Stagers, CMSTP.EXE üzerinden UAC bypass kullanan Katz Stealer’a benzer bir modüler .NET yükleyicisine ve minimum disk ayak izleri bırakmak için bellek içi yürütme içerir.
İnternet arşivi gibi platformlardan şifrelenmiş konfigürasyonlar, Portekizce dizeleri ve dinamik yük alımı, bölge çapraz işbirliğine işaret eden Brezilya siber suç ekosistemleriyle potansiyel bağlar önermektedir.
Bu gelişen tehdit, şu anda veri hırsızlığına odaklanmış olsa da, yetenekleri göz önüne alındığında fidye yazılımı dağıtımı için gizli bir riski oluşturmaktadır.
Kolombiya’daki Üstün Yargı Konseyi, bu kimliğe bürünme taktikleri hakkında uyarılar yaparak uyanıklık çağrısında bulundu.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge (örnek karmalar) |
|---|---|
| SVG Dosyaları | 64e971f0fed4da9d71cd742db56f73b7f7fa8fec3b8aebd17306e0d4f1d29d |
| Paketler | Bf596502f05062d156f40322bdbe903b28df967ce694832a78482b47dcdd967 |
| Yükler | 0E5A768A611A4D0ED7CB984B2EE790AD419C6CE0BE68C341A2D4F64C531D8122 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin