ShadowRoot Fidye Yazılımı Silahlandırılmış PDF Belgeleriyle Kuruluşlara Saldırıyor


İlkel bir fidye yazılımı, “.ru” alan adı gönderici adreslerine sahip kimlik avı e-postaları aracılığıyla Türk işletmelerini hedef alıyor. Bir PDF ekinin bağlantısına tıklamak, tehlikeye atılmış bir GitHub hesabından kötü amaçlı bir yürütülebilir dosyanın indirilmesini tetikliyor.

Yürütülebilir dosya, kritik dosyaları “.shadowroot” uzantısıyla şifreleyerek, fidye yazılımı saldırılarının yükleri dağıtmak için kimlik avı e-postaları kullanma eğilimini vurguluyor ve küresel çapta çeşitli sektörlere yönelik devam eden tehdidi ortaya koyuyor.

pdf’den kötü amaçlı URL

Analiz edilen yürütülebilir dosya, kötü amaçlı bir 32-bit Borland Delphi 4.0 ikili dosyası olup, RootDesign.exe ve Uninstall.exe de dahil olmak üzere, bir sisteme sızmak ve kötü amaçlı faaliyetler gerçekleştirmek için tasarlanmış bir kötü amaçlı yazılım programının bileşenleri olduğu düşünülen birkaç dosyayı düşürüyor.

Join our free webinar to learn about combating slow DDoS attacks, a major threat today.

.NET uygulamaları için açık kaynaklı bir karıştırıcı olan DotNet Confuser, özellikle korunan RootDesign.exe için ek koruma sağlar.

Paketleyici bilgisi

DotNet Confuser tarafından uygulanan karartma sonucunda, geleneksel güvenlik yazılımlarının RootDesign.exe’yi potansiyel bir tehdit olarak tanıması zorlaşıyor.

PDF.FaturaDetay_202407.exe damlalığı, RootDesign.exe’yi gizli modda çalıştırmak için iç içe PowerShell komutlarını kullanır. PowerShell, görevleri otomatikleştirmek ve programları yürütmek için kullanılabilen Windows işletim sistemine yerleştirilmiş bir betik dilidir.

Karmaşıklaştırılmış fonksiyon ve sınıf adı

Kötü amaçlı yazılım yazarları, PowerShell komutlarını iç içe yerleştirerek, yürütme akışını izlemeyi ve başlatılan nihai yükü (RootDesign.exe) belirlemeyi zorlaştıran bir dolaylılık düzeyine ulaşabilirler.

ForcePoint’e göre RootDesign.exe’yi gizli modda çalıştırmak, etkinliğini kullanıcıdan daha da gizliyor ve bu da kötü amaçlı yazılımın tespit edilip kaldırılmasını daha da zorlaştırıyor.

Bir saldırgan, PowerShell’i kullanarak gizli bir işlemi (RootDesign.exe) başlatan ve muhtemelen “The Dream” adlı dizinde bulunan komut istemi komutu gibi gizlenmiş kötü amaçlı bir betiği çalıştırdı.

Bu işlem, paylaşılan kaynaklara erişimi kontrol etmek için kullanılan ve adları (_SHuassist.mtx, Local\ZonesCacheCounterMutex, Local\ZonesLockedCacheCounterMutex) kötü amaçlı yazılımın belirli sistem işlevlerini hedef alabileceğini düşündüren senkronizasyon nesneleri olan birkaç karşılıklı dışlama oluşturur.

Daha sonra kötü amaçlı yazılım, kendi kopyalarını belleğe yeni işlem kimlikleriyle (PID’ler) enjekte ederek, tehlikeye atılmış sistemdeki dosyaları şifrelemeyi amaçlayan bir fidye yazılımı saldırısının göstergesi olan yinelemeli bir iş parçacığı yapısı oluşturur.

ShadowRoot uzantısıyla şifrelenmiş dosyalar

.NET ile derlenen bir kötü amaçlı yazılım olan RootDesign.exe, etkinliğini günlüğe kaydeder, bir fidye yazılımı saldırısı başlatır ve kritik sistem dosyalarını özel bir “.ShadowRoot” uzantısıyla tekrar tekrar şifreleyerek fidye notları bırakır ve kendi kendini çoğaltma davranışı nedeniyle yüksek bellek kullanımına neden olur.

Kötü amaçlı yazılım, saldırganların kontrolünde olan bir e-posta adresine 587 numaralı bağlantı noktasından SMTP üzerinden bir komuta ve kontrol kanalı oluşturuyor ve şifreleme için yaygın AESCryptoServiceProvider sınıfını kullanıyor.

Doğrudan kripto cüzdan bilgisi sağlanmazken, fidye notunda mağdurlara iletişim ve olası şifre çözme aracı/ödeme işlemleri için kullanılan şüpheli bir e-postayla iletişime geçmeleri talimatı veriliyor.

AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo



Source link