Spam Posta Yoluyla Yayılan Yeni Dosyasız Kötü Amaçlı Yazılımlara Dikkat Edin


Spam Posta Yoluyla Yayılan Yeni Dosyasız Kötü Amaçlı Yazılımlara Dikkat Edin

Son raporlar, tehdit aktörlerinin dosyasız kötü amaçlı yazılım dağıtmak için kimlik avı e-postaları kullandığını gösteriyor. Ek, AgentTesla, Remcos ve LimeRAT gibi diğer kötü amaçlı yazılımları dağıtmak için kullanılabilen bir .hta (HTML Uygulaması) dosyasından oluşur.

Bu dosyasız kötü amaçlı yazılım, kurbanın sisteminde dosya oluşturulmadan çalıştırılan Taşınabilir Yürütülebilir (PE) biçimidir. Kimlik avı e-postası, banka havalesi bildirimini belirten gövde içeriğine sahiptir. E-postaya ek olarak, e-postada .hta komut dosyasıyla birlikte gömülü bir ISO görüntüsü içeren bir ek bulunur. Bu dosya mshta.exe (Microsoft HTML Uygulaması) kullanılarak çalışır.

Spam Posta Yoluyla Dosyasız Kötü Amaçlı Yazılım

Cyber ​​Security News ile paylaşılan raporlara göre, kurbanlar bu ISO dosyasını çalıştırdığında gömülü .hta dosyası yürütülüyor ve bu dosya mshta.exe, cmd.exe, powershell.exe ve RegAsm.exe işlemlerinden oluşan bir süreç ağacı oluşturuyor. sırayla.

.hta dosyasına gömülü ISO dosyası (Kaynak: AhnLab)

Mshta.exe işlemi bir Powershell komutunu yürütür. Komut, bir işlevi çağırmak için CurrentDomain.Load verilerini yükleyen sunucudan (DownloadString) base64 kodlu dize türü verileri istemek için kullanılan bağımsız değişkenlerden oluşur. Bununla birlikte, PE dosyasında oluşturulan bir ikili dosya yoktur, bunun yerine ikili dosya Powershell’in bellek alanında yürütülür.

Yük indirme ve hafıza indirme Kaynak: AhnLab

Ayrıca Powershell betiği, Base64 dizesinden kodu çözülmüş bir DLL dosyasını da yürütür. Bu DLL, C2 sunucusundan son ikili dosyayı indirir ve onu RegAsm.exe’ye (Derleme Kayıt Aracı) enjekte eder. Bu son ikili Remcos, AgentTesla veya LimeRAT gibi herhangi bir kötü amaçlı yazılım olabilir.

Base64 kodlu DLL

AhnLab tarafından kötü amaçlı yazılım, PE dosyası, DLL dosyası ve diğerleri hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergesi

Behavior Detection
Connection/EDR.Behavior.M2650
Execution/MDP.Powershell.M10668
File Detection
Downloader/Script.Generic
Trojan/Win.Generic.R526355
URL & C2
hxxps[:][/][/]cdn[.]pixelbin[.]io[/]v2[/]red-wildflower-1b0af4[/]original[/]hta[.]txt
hxxp[:][/][/]195[.]178[.]120[.]24[/]investorbase64[.]txt
MD5
43e75fb2283765ebacf10135f598e98c (.hta)
540d3bc5982322843934504ad584f370 (.dll)

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link