Yeni bir kötü amaçlı yazılım kampanyası, sahte Mavi Ölüm Ekranı uyarılarından ve güvenilir Microsoft geliştirme araçlarından yararlanarak tehlikeli bir uzaktan erişim truva atı sunuyor.
PHALT#BLYX olarak takip edilen operasyon, mağdurları sistemlerinde kötü amaçlı kod çalıştırmaya yönlendiren yanıltıcı rezervasyon iptali e-postalarıyla konaklama işletmelerini hedef alıyor.
Saldırı, şüphelenmeyen çalışanların Rezervasyon kılığına girmiş ikna edici kimlik avı e-postaları almasıyla başlar[.]com rezervasyon uyarıları.
Bu mesajlar 1.000 Euro’yu aşan endişe verici ücretleri gösteriyor, anında panik yaratıyor ve alıcıları doğrulama için “Ayrıntıları Gör”e tıklamaya teşvik ediyor.
Kurbanlar, meşru rezervasyon bilgilerine ulaşmak yerine, renklerine, yazı tiplerine ve logolarına kadar orijinal Booking.com arayüzünü yansıtan, profesyonelce hazırlanmış sahte web sitelerine yöneliyor.
Psikolojik manipülasyon aciliyet ve mali kaygılardan yararlanarak hedeflerin normal güvenlik önlemlerini atlama olasılığını artırır.
Kurbanlar, sahte sayfaya girdikten sonra sahte bir tarayıcı yükleme hatasıyla ve ardından endişe verici derecede orijinal görünen simüle edilmiş bir Mavi Ölüm Ekranıyla karşılaşıyor.
.webp)
Sayfa, kullanıcılara Windows tuşu + R tuşlarına basarak, ardından pano içeriğini yapıştırıp Enter tuşuna basarak sorunu “düzeltmeleri” talimatını verir.
Bu ClickFix tekniği, insanları, kötü amaçlı proje dosyalarını indiren ve bunları meşru bir Microsoft derleme aracı olan MSBuild.exe aracılığıyla başlatan PowerShell komutlarını manuel olarak yürütmeye yönlendirir.
Securonix araştırmacıları bu kampanyayı, taktiklerin daha basit HTML uygulama dağıtım yöntemlerinden mevcut karmaşık MSBuild tabanlı enfeksiyon zincirine kadar evrimini izledikten sonra belirlediler.
Bu değişim, geleneksel antivirüs tespitinden kaçmak için güvenilir sistem araçlarını kötüye kullanan Living off the Land tekniklerine yönelik stratejik bir uyarlamayı temsil ediyor.
Analiz, kötü amaçlı yazılım koduna gömülü Rusça dil dizilerini ortaya çıkardı ve bu durum, DCRat’ı yeraltı forumlarında yaygın olarak kullanan Rusça konuşan tehdit gruplarıyla bağlantılar olduğunu düşündürdü.
Çok Aşamalı Enfeksiyon Süreci ve Savunmadan Kaçınma
Kötü amaçlı PowerShell damlalığı aynı anda birkaç kritik işlemi yürütür.
Tüm sistemde MSBuild.exe’yi gizlice ararken, saldırganın altyapısından v.proj adlı proje dosyasını indirip Microsoft aracı aracılığıyla çalıştırırken, yem olarak yasal Booking.com yönetici sayfasını açıyor.
MSBuild.exe geçerli bir Microsoft imzası taşıdığından, uygulama beyaz listesi ve uç nokta güvenliği çözümleri genellikle yürütmeyi şüpheli olarak işaretlemede başarısız olur.
v.proj dosyası, ProgramData dizininin tamamı ve .exe, .ps1 ve .proj dahil olmak üzere belirli dosya uzantıları için istisnalar ekleyerek Windows Defender’ı hemen hedefleyen yerleşik PowerShell komut dosyalarını içerir.
Bu hazırlık, son yükün karantina uyarılarını tetiklemeden diske ulaşmasını sağlar.
Kötü amaçlı yazılım daha sonra UAC spam taktikleri yoluyla ayrıcalık yükseltmeye çalışır ve kullanıcıların dirençlerini tüketmek için tasarlanmış tekrarlanan açılır pencereler aracılığıyla sürekli olarak yönetici hakları vermelerini ister.
Kötü amaçlı yazılım, Başlangıç klasöründeki İnternet Kısayolu dosyaları aracılığıyla kalıcılık sağladıktan sonra, oldukça karmaşık bir DCRat çeşidi olan staxs.exe’yi dağıtır.
Bu veri, PBKDF2 anahtar türetmeyle AES-256 şifrelemesini kullanır ve 3535 numaralı bağlantı noktası üzerinden asj77.com, asj88.com ve asj99.com’daki komut ve kontrol sunucularına bağlanır.
Truva atı, süreç boşluğu yoluyla kendisini aspnet_compiler.exe gibi meşru sistem süreçlerine enjekte ederek, güvenilir Windows ikili dosyalarının arkasındaki kötü amaçlı etkinlikleri etkili bir şekilde maskeliyor.
.webp)
DCRat’ın yetenekleri arasında keylogging, uzak masaüstü erişimi, süreç enjeksiyonu ve kripto para madencileri gibi ikincil yükleri indirme yeteneği yer alıyor.
Kötü amaçlı yazılım, bu bilgileri operatörlere geri göndermeden önce donanım tanımlayıcıları, yüklü antivirüs yazılımlarını, etkin pencere başlıklarını ve etki alanı üyelik durumunu içeren kapsamlı sistem parmak izlerini toplar.
Bu bilgi, saldırganların kurban değerini değerlendirmesine ve kimlik bilgileri hırsızlığı, yanal hareket veya fidye yazılımı dağıtımı için uygun takip araçlarını devreye sokmasına olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
