Cyble Research and Intelligence Labs (CRIL), DarkTortilla kötü amaçlı yazılımını dağıtan tehdit Aktörlerini (TA’lar) tespit etti. 2015’ten beri, DarkTortilla olarak bilinen karmaşık .NET tabanlı kötü amaçlı yazılım çalışıyor.
Araştırmacılar, AgentTesla, AsyncRAT, NanoCore vb. dahil olmak üzere çok sayıda hırsız ve Uzaktan Erişim Truva Atı’nın (RAT) kötü amaçlı yazılım tarafından düşürüldüğünün bilindiğini söylüyor.
DarkTortilla ve Özel Eylemleri
Güvenlik araştırmacıları, DarkTortilla’nın kullanıcılara kötü amaçlı ekleri olan spam e-postalar yoluyla yayıldığını açıkladı. Ancak CRIL, DarkTortilla’dan sorumlu Tehdit Aktörlerinin (TA’lar) kötü amaçlı yazılımı yaymak için kimlik avı web siteleri oluşturduğunu keşfetti.
“Meşru Grammarly ve Cisco siteleri gibi davranan iki kimlik avı sitesi belirledik. Kimlik avı siteleri bağlantısı, kullanıcıları etkilemek için spam e-posta veya çevrimiçi reklamlar vb. yoluyla kullanıcılara ulaşabilir”, CRIL
DarkTortilla’nın bulaşması, kimlik avı sitelerinden indirilen kötü amaçlı örneklerle daha da kolaylaştırılır. İki kimlik avı web sitesinden alınan örnekler, DarkTortilla kötü amaçlı yazılımını yaymak için çeşitli bulaşma yöntemleri kullanıyor.
Teknik analize göre Grammarly kimlik avı sitesi, kullanıcı “Get Grammarly” Düğmesine tıkladığında “GnammanlyInstaller.zip” adlı kötü amaçlı bir zip dosyasını indirir. Zip dosyası ayrıca kötü amaçlı bir kabin dosyası içerir, kendisini bir Grammarly yürütülebilir dosyası olarak gizleyen “GnammanlyInstaller.ce9rah8baddwd7jse1ovd0e01.exe”.
Yürütme işleminden sonra, .NET yürütülebilir dosyası uzak sunucudan şifrelenmiş bir dosya indirir, RC4 mantığını kullanarak bu dosyanın şifresini çözer ve onu bellekte yürütür.
Kötü amaçlı yazılımın son yükü olarak işlev gören ve sistemde ek kötü amaçlı işlemler yürüten DLL dosyası, daha sonra kötü amaçlı yazılım tarafından belleğe yüklenir.
Araştırmacılar, kötü amaçlı yazılımın kalıcılığını korumak için kurbanın .LNK dosyalarının hedef yolunu değiştirdiğinden bahsediyor.
“CISCO kimlik avı sitesi, VC++ derlenmiş bir ikili dosya olan “hxxps://cicsom.com/download/TeamViewerMeeting_Setup_x64.exe” URL’sinden bir dosya indiriyor”, CRIL
Kötü amaçlı yazılım yürütüldüğünde, ek kötü amaçlı işlemlerde kullanılmak üzere yığındaki şifrelenmiş içeriği kopyalayan bir dizi MOV Talimatı çalıştırır. Bu anti-virüs tespitinden kaçınma yöntemi, kötü amaçlı yazılım tarafından kullanılır.
Kötü amaçlı yazılım, Portable Executable (PE) dosyasını almak için şifrelenmiş içerik üzerinde bir şifre çözme döngüsü yürütür, yeni bir kayıt defteri anahtarı oluşturur ve şifresi çözülmüş PE dosyasını ikili bir değer olarak kopyalar.
PowerShell mekanizması, kötü amaçlı yazılım tarafından kullanılır ve burada kalıcılık mekanizması olarak bir Görev zamanlayıcı girişi oluşturur. Ayrıca, dosyanın VMware, Vbox vb. gibi yönetilen bir ortamda çalışıp çalışmadığını belirlemek için kötü amaçlı yazılım tarafından sanal makine önleme denetimi gerçekleştirilir.
“Asistanlar, DarkTortilla kötü amaçlı yazılımını dağıtmak için yazım hatası yapılmış kimlik avı siteleri kullanıyor. Kimlik avı sitelerinden indirilen dosyalar, farklı bulaşma teknikleri sergiliyor, bu da TA’ların çeşitli seçenekler kullanarak ikili dosyayı özelleştirebilen ve derleyebilen gelişmiş bir platforma sahip olması gerektiğini gösteriyor”, CRIL
öneriler
- E-postalardaki şüpheli bağlantıları açmayın.
- Yazılımı güvenilmeyen kaynaklardan indirmeyin.
- PC, dizüstü bilgisayar ve cep telefonu da dahil olmak üzere bağlı cihazlarınızda tanınmış bir anti-virüs ve İnternet güvenliği yazılım paketi kullanın.
- Orijinalliklerini doğrulamadan güvenilmeyen bağlantıları ve e-posta eklerini açmaktan kaçının.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin