Snake Keylogger ile benzerlikler gösteren VIPKeyLogger bilgi hırsızı, kimlik avı kampanyaları aracılığıyla aktif olarak dolaşıyor.
Arşiv veya Microsoft 365 dosyası görünümünde ek olarak sunulan bu dosya, komuta ve kontrol (C2) altyapısı aracılığıyla yayılmak için kötü amaçlı Microsoft Office belgelerini kullanıyor.
Oturum açma kimlik bilgileri, finansal bilgiler, sistem verileri ve kişisel olarak tanımlanabilir bilgiler de dahil olmak üzere hassas verileri hedef alarak güvenliği ihlal edilmiş sistemler için önemli bir tehdit oluşturur.
Analiz, başlangıçta CVE-2017-11882 ile ilişkili bir dosya olarak görünen kötü amaçlı belgenin bir RTF dosyası olduğunu ortaya koyuyor. Dosyanın parçalara ayrılması, nesne verileri bölümündeki kodlanmış içeriği ortaya çıkarır.
Bu verileri çıkarırken ve analiz ederken, daha fazla nesne referansı ortaya çıkar ve sonuçta kötü amaçlı bir yürütülebilir dosyanın indirme kaynağı olarak hizmet veren bir URL’ye çözümlenir, bu da RTF belgesinin kötü amaçlı yazılım için bir dağıtım mekanizması görevi gördüğünü gösterir.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Bir URL’nin kurtarılmasına izin verilen “InfoStealers-wild-image-8” yapısındaki bir nesnedeki boş satırların ve boşlukların kaldırılması: “http”[:]//87[.]120.84.39/txt/xXdqUOrM1vD3An[.]Kötü amaçlı bir .NET derlenmiş dosyasını indirmek için kullanılan exe”.
DnSpy ile daha ayrıntılı inceleme yapıldığında, bu dosyanın, gerçek dosya adı ne olursa olsun, dinamik olarak “skkV” adıyla yüklendiği keşfedildi.[.]Kötü amaçlı yazılımın kullandığı potansiyel gizleme tekniklerini gösteren “.exe”.
Görünüşte zararsız bir görüntü dosyası (“vmGP”) olarak gizlenen bu kötü amaçlı yazılım, görüntü verileri içindeki kötü amaçlı kodu gizlemek için steganografiden yararlanıyor.
Yürütmenin ardından MainForm() sınıfı içindeki kod, gizli veriyi çıkarıp kodunu çözer ve ardından sistem ayrıntıları, pano içeriği, ekran görüntüleri, tarama geçmişi ve çerezler dahil olmak üzere virüslü sistemden hassas bilgileri toplamaya devam eder.
Toplanan bilgiler daha sonra bir Telegram botuna aktarılıyor ve bu da rastgele oluşturulan DuckDNS sunucularına aktarılıyor.
Kötü amaçlı eklentiler içeren kimlik avı e-postaları yoluyla gönderilen bir keylogger, bir sisteme sızmak için kullanıcı etkileşiminden yararlanır. Çalıştırıldığında, dosyaları sistem klasörlerine bırakarak kalıcılık sağlar.
Kötü amaçlı yazılım daha sonra tuş vuruşları, pano içeriği, ekran görüntüleri, tarama geçmişi, çerezler ve e-posta kimlik bilgileri dahil olmak üzere hassas verileri sızdırarak Telegram aracılığıyla Dynamic DuckDNS üzerinde barındırılan bir Komuta ve Kontrol (C2) sunucusuna ileterek saldırganların uzaktan izlemesine ve kontrol etmesine olanak tanır. tehlikeye giren sistem.
Forcepoint, yem aşamasında kötü amaçlı ekleri engelleyerek müşterileri bu tehdide karşı korur ve daha fazla veri indirmeye çalışan şüpheli URL’ler de yönlendirme aşamasında engellenir.
Bırakılan dosyaları kötü amaçlı veritabanına ekleyerek tanımlar ve engeller; platform, ilgili kimlik bilgilerini engelleyerek, saldırganın güvenliği ihlal edilmiş sistemler üzerinde kalıcı kontrol sağlama yeteneğini engelleyerek komut ve kontrol iletişimini etkili bir şekilde azaltır.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin