Siber güvenlik araştırmacıları, yeraltı siber suç pazarında ilgili bir gelişme tespit ettiler: Meşru Screencect uzaktan erişim çözümüne tamamen tespit edilemez (FUD) bir alternatif olarak pazarlanan sofistike bir uzaktan erişim Truva atı (sıçan).
Bu ortaya çıkan tehdit, hizmet olarak kötü amaçlı yazılım operasyonlarının profesyonelleştirilmesinde önemli bir artışı temsil eder ve tehdit aktörleri özellikle yerleşik uzaktan yönetim araçlarıyla ilişkili güveni hedefler.
Kötü amaçlı yazılımların birincil satış önerisi, hem Google Chrome hem de Windows SmartScreen’den güvenlik uyarılarını tamamen atlayabilme yeteneğine odaklanmaktadır, kullanıcıları genellikle kötü amaçlı indirmelerden koruyan iki kritik güvenlik engeldir.
Yeraltı forumu reklamlarına göre, bu kaçırma, tarayıcıların tipik olarak gelişmiş görsel güven göstergeleri ile görüntülenen yüksek güvence dijital sertifikaları olan geçerli genişletilmiş doğrulama (EV) sertifikalarına sahip kötü amaçlı yazılımların bir araya gelmesiyle gerçekleştirilir.
Tehdit aktörleri, antibot mekanizmaları ve pelerinli açılış sayfalarını içeren kapsamlı bir kaçakçı araç seti geliştirdiler.
Bu sofistike özellikler, kötü amaçlı yazılımların aynı anda gerçek hedeflere kötü amaçlı yükler sunarken otomatik güvenlik tarayıcılarına ve sanal alan ortamlarına iyi huylu içerik sunmasını sağlar.
Bu çift sunum özelliği, otomatik analiz kaçakçılığı tekniklerinde önemli bir ilerlemeyi temsil etmektedir.
Yaygın sözsüz saldırı yöntemleri, PowerShell, kimlik avı e-postaları, kötü amaçlı bağlantılar ve meşru görünümlü web sitelerini kullanmayı geleneksel dosyalar olmadan kötü amaçlı yazılım sunmak için kullanır.
Teslimat mekanizması profesyonel sınıf sosyal mühendisliği sergiliyor ve tehdit aktörleri ikna edici sahte Adobe Acrobat Reader indirme sayfaları yaratıyor.
Bu yaklaşım, kullanıcıların ilk uzlaşmayı kolaylaştırmak için meşru yazılım güncellemelerine aşinalarından yararlanır ve saldırganların kötü niyetli amaçlar için güvenilir markalardan nasıl yararlanmaya devam ettiğini gösterir.
Screenconnect fud
Teknik analiz, sıçanın, öncelikle yürütülebilir yükünü doğrudan belleğe yüklemek için PowerShell tabanlı komutlar kullanan evli olmayan yürütme tekniklerini kullandığını ortaya koymaktadır.
Bu yaklaşım, kötü amaçlı yazılımın diske kalıcı dosyalar yazmadan çalışmasını sağlar ve dosya tabanlı tarama mekanizmalarına dayanan geleneksel antivirüs çözümleri ile saptanabilirliğini önemli ölçüde azaltır.
Uzaktan erişim özellikleri, saldırganlara tehlikeye atılan sistemler üzerinde gerçek zamanlı görsel kontrol sağlayan kapsamlı bir uzak izleyici işlevi içerir.
Bu işlevsellik, ek takım dağıtımı gerektirmeden sürekli izleme, etkileşimli veri eksfiltrasyonu ve dinamik sistem manipülasyonunu sağlar.
JS_POWmet’in enfeksiyon zincirini gösteren akış şeması ve BKDR_ANDROM yükünün teslimatı.
Tehdit oyuncunun satış yaklaşımı, hizmet olarak oldukça organize bir siber suç modelini göstermektedir. Reklamlar, aracı açıkça bir “FUD yükleyici” olarak konumlandırır, bu da fidye yazılımı, bankacılık truva atları veya casusluk araçları gibi ikincil yükleri dağıtmadan önce kalıcı sistem erişimi oluşturmak için birincil enfeksiyon vektörü olarak kullanıldığını gösterir.
Satıcının demo kullanılabilirliği vaadi ve 24 saatlik teslimat zaman çizelgeleri, ölçeklenebilir kötü amaçlı yazılım dağıtımını desteklemek için tasarlanmış olgun bir operasyonel altyapı önermektedir.
Bu profesyonel yaklaşım, siber suçlu işletmelerin artan karmaşıklığını vurgulayan meşru yazılım satış modellerini yansıtır.
Büyüyen tehdit manzarası
Bu gelişme, saldırganların sürekli olarak meşru markalara olan güvenini kullanmaya ve modern güvenlik teknolojilerini atlatmaya odaklanan siber tehdit manzarasındaki daha geniş eğilimleri yansıtmaktadır.
ScreAnconnect itibarının özel hedeflemesi, tehdit aktörlerinin kullanıcılar ve yerleşik uzaktan erişim çözümleri arasındaki güven ilişkilerini sistematik olarak tanımladığını ve kullandığını göstermektedir.
Geçerli EV sertifikalarının kötü niyetli yüklerle entegrasyonu, internetin temel güven mekanizmalarından birini doğrudan zayıflattığı için özellikle ilgili bir evrimi temsil eder.
Bu teknik potansiyel olarak birden fazla saldırı kampanyasında ölçeklenebilir, bu da algılamayı hem otomatik sistemler hem de son kullanıcılar için önemli ölçüde daha zorlaştırabilir.
Güvenlik profesyonelleri, tehdit aktörleri operasyonlarını profesyonelleştirmeye devam ettikçe, meşru marka taklit etme ve gelişmiş kaçırma tekniklerinin artmasını öngörmelidir.
Uzaktan erişim araçlarını kullanan kuruluşlar, ek doğrulama prosedürleri uygulamalı ve güvenilir yazılım ilişkilerini hedefleyen sosyal mühendislik girişimleri konusunda artan farkındalığı korumalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.