Siber suçlular, LokiBot Kötü Amaçlı Yazılımını Dağıtmak için Microsoft Word Güvenlik Açıklarından Yararlanıyor


17 Temmuz 2023THNKötü Amaçlı Yazılım / Siber Tehdit

Microsoft Word

Bilinen uzaktan kod yürütme kusurlarından yararlanan Microsoft Word belgeleri, adı verilen kötü amaçlı yazılımı bırakmak için kimlik avı yemi olarak kullanılıyor. LokiBot güvenliği ihlal edilmiş sistemlerde.

Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Loki PWS olarak da bilinen LokiBot, 2015’ten beri aktif olarak bilinen, bilgi çalan bir Truva atı olmuştur” dedi. “Öncelikle Windows sistemlerini hedefliyor ve virüslü makinelerden hassas bilgiler toplamayı amaçlıyor.”

Kampanyayı Mayıs 2023’te tespit eden siber güvenlik şirketi, saldırıların kod yürütmeyi sağlamak için CVE-2021-40444 ve CVE-2022-30190’dan (namı diğer Follina) yararlandığını söyledi.

CVE-2021-40444’ü silah haline getiren Word dosyası, bir HTML dosyasının indirilmesine yol açan bir XML dosyasına gömülü harici bir GoFile bağlantısı içerir. ve LokiBot’u başlatır.

Enjektör ayrıca hata ayıklayıcıların varlığını kontrol etmek ve sanallaştırılmış bir ortamda çalışıp çalışmadığını belirlemek için kaçınma teknikleri içerir.

LokiBot Kötü Amaçlı Yazılım

Mayıs ayının sonlarına doğru keşfedilen alternatif bir zincir, “Auto_Open” ve “Document_Open” işlevlerini kullanarak belgeyi açar açmaz bir makro yürüten bir VBA komut dosyası içeren bir Word belgesiyle başlar.

Makro komut dosyası, daha sonra, aynı zamanda LokiBot’u yüklemek ve bir komut ve kontrol (C2) sunucusuna bağlanmak için bir enjektör işlevi gören uzak bir sunucudan geçici bir yük sağlamak için bir kanal görevi görür.

YAKLAŞAN WEBİNAR

İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın

İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.

Bugün katıl

Aynı adı taşıyan bir Android bankacılık truva atı ile karıştırılmaması gereken LokiBot, tuş vuruşlarını kaydetme, ekran görüntüleri yakalama, web tarayıcılarından oturum açma kimlik bilgilerini toplama ve çeşitli kripto para birimi cüzdanlarından verileri sifonlama yetenekleriyle birlikte gelir.

Lin, “LokiBot, uzun yıllardır aktif olan, uzun süredir devam eden ve yaygın bir kötü amaçlı yazılımdır” dedi. “İşlevsellikleri zamanla olgunlaştı ve siber suçluların onu kurbanlardan hassas verileri çalmak için kullanmasını kolaylaştırdı. LokiBot’un arkasındaki saldırganlar, ilk erişim yöntemlerini sürekli olarak güncelleyerek, kötü amaçlı yazılım kampanyalarının sistemleri yaymak ve sistemleri etkilemek için daha verimli yollar bulmasını sağlıyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link