Yanıltıcı reklamlar yoluyla dağıtılan kötü amaçlı dosya dönüştürücü uygulamaları, binlerce sisteme kalıcı uzaktan erişim truva atları (RAT’lar) bulaştırıyor.
Görünüşte meşru olan bu üretkenlik araçları, reklamı yapılan işlevlerini yerine getirirken, saldırganlara kurban bilgisayarlara sürekli erişim sağlayan arka kapıları gizlice kurar.
Nextron Systems, enfeksiyon zincirinin genellikle video oyunu indirme sayfaları, yetişkinlere yönelik içerik siteleri ve üretkenlik aracı web siteleri dahil olmak üzere meşru web sitelerine yerleştirilen kötü amaçlı Google reklamlarıyla başladığını tespit etti.
Kullanıcılar “Word’den PDF’ye dönüştürücü” veya resim dönüştürücüler gibi dosya dönüştürme araçlarını aradığında, bu reklamlar arama sonuçlarının en üstünde görünür ve güvenilir görünmelerini sağlar. Reklama tıklamak, kurbanları truva atı haline getirilmiş yazılımlar sunan sahte dönüştürücü web sitelerine yönlendirmeden önce birden fazla alan adına yönlendiriyor.
Kötü amaçlı yük dağıtım web siteleri, tanımlandıktan sonra onları tanınabilir kılan ayırt edici özellikleri paylaşır. ez2convertapp gibi alan adları[.]com, Convertyfileapp[.]com, powerdocapp[.]com ve pdfskillsapp[.]com’un tümü, SSS’ler, özellik açıklamaları ve gizlilik politikaları da dahil olmak üzere, öne çıkan indirme düğmelerini ve benzer sayfa yapılarını sunar.
Bu alanların çoğu, doğrudan dropper dosyalarını barındırmaz; bunun yerine kullanıcıları, gerçek kötü amaçlı indirmeleri sağlayan ek alanlara yönlendirir.
Kod İmzalama Sahte Meşruiyet Yaratır
Saldırganlar, tespit edilmekten kaçınmak ve güvenilir görünmek için kötü amaçlı yazılımlarını BLUE TAKIN LTD, TAU CENTAURI LTD ve SPARROW TIDE LTD gibi yayıncıların kod imzalama sertifikalarıyla imzalar.
Keşfedildikten sonra birçok sertifika iptal edilmiş olsa da, temel güvenlik kontrollerini atlayan yeni, geçerli sertifikalarla sürekli olarak yeni kampanyalar ortaya çıkıyor. Bu, kötü amaçlı yazılımın hem son kullanıcılara hem de imza doğrulaması gerçekleştiren güvenlik araçlarına meşru bir yazılım olarak görünmesine olanak tanır.
İndirdikten sonra, C# ile yazılmış dönüştürücü uygulamalar %LocalAppData% dizinine ek veriler bırakır ve her 24 saatte bir “güncelleyici” ikili dosyaları çalıştıran zamanlanmış görevler oluşturur.
Zamanlanmış görevler genellikle ilk enfeksiyondan bir gün sonra başlar ve bu “+1 günlük” fark, ilk erişim zaman damgasını belirlemek için yararlı bir adli gösterge görevi görür. Bir id.txt dosyasında saklanan sisteme özel bir UUID, komuta ve kontrol (C2) iletişimi sırasında her kurbanı tanımlar.
Son aşamadaki veri, kötü amaçlı .NET derlemelerini almak ve yürütmek için saldırgan tarafından kontrol edilen C2 sunucularıyla bağlantı kuran genel bir yürütme motoru olarak işlev görür. Bu RAT’lar, saldırganlara veri hırsızlığı, tuş günlüğü tutma, ekran yakalama, dosya sistemi erişimi ve ek kötü amaçlı yazılım indirme yeteneği gibi yetenekler sağlar.
UpdateRetriever.exe bileşeni, C2 sunucusunda kimlik doğrulaması yapar, yürütülebilir kodu alır ve sonuçları saldırganlara geri gönderirken bu kodu kurbanın sisteminde sessizce çalıştırır.
Kuruluşlar, nesne erişimi denetiminin etkinleştirilmesini gerektiren Security.evtx günlüklerindeki Windows Olay Kimliği 4698’i (zamanlanmış görev oluşturuldu) izleyerek bu bulaşmaları tespit edebilir.
%LocalAppData% dizinlerinden yürütülen şüpheli zamanlanmış görevler, özellikle Sysmon Event ID 13 kayıt defteri izleme ve Görev Zamanlayıcı Operasyonel olaylarıyla birleştirildiğinde mükemmel tespit dayanakları olarak hizmet eder.
Ek savunmalar arasında, kullanıcının yazabileceği konumlardan yürütmeyi engellemek için AppLocker gibi uygulama kontrol ilkelerinin uygulanması ve belirlenen kötü amaçlı kod imzalama sertifikaları için reddetme kuralları oluşturulması yer alır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
