Doğu ve Güneydoğu Asya’daki siber güvenlik profesyonelleri, Çin bağlantılı saldırganlar meşru bir WhatsApp kurulum paketi olarak gizlenmiş silahlandırılmış bir MSI yükleyicisi kullandıkça sofistike yeni bir tehditle karşı karşıya.
Bu kötü niyetli kampanya, sosyal mühendislik taktiklerinde önemli bir yükselişi temsil eder ve kurumsal ve kişisel sistemlere sızmak için yaygın olarak kullanılan mesajlaşma platformuyla ilişkili popülerlik ve güveni kullanır.
Saldırı, kötü amaçlı yazılım dağıtımına ve sistem uzlaşmasına yönelik çok katmanlı yaklaşımıyla gelişmiş teknik gelişmişliği göstermektedir.
.png
)
Tehdit aktörleri, otantik WhatsApp kurulum paketlerini taklit etmek için dikkatlice tasarlanmış, truva atlı MSI montajcılarının dağılımı ile başlayan ayrıntılı bir saldırı zinciri hazırladılar.
Broadcom analistleri, bu kampanyayı özellikle hedeflenen doğası ve geleneksel güvenlik önlemlerinden kaçınmak için kullanılan gelişmiş teknikler nedeniyle tanımladılar.
Kötü amaçlı yazılım, görünüşte zararsız görüntü dosyalarına gömülü şifreli kabuk kodu kullanır ve ilk algılamayı geleneksel antivirüs çözümleri için önemli ölçüde daha zorlaştırır.
Yürütüldükten sonra, kötü amaçlı yükleyici, planlanan görevlerle kalıcılık oluşturan PowerShell komut dosyalarını dağıtır ve kötü amaçlı yazılımın yeniden başlatıldıktan sonra bile enfekte sistemlerde dayanağını korumasını sağlar.
Nihai yük, uzlaşmış sistemlerde telgraf kurulumlarını tespit etmek için tasarlanmış özel işlevlerle geliştirilen Xworm uzaktan erişim Truva atının yoğun şekilde değiştirilmiş bir versiyonunu temsil eder.
Bu değişiklik, saldırganların özellikle casusluk veya daha fazla sosyal mühendislik saldırıları için iletişim platformlarını izlemekle ilgilendiklerini göstermektedir.
Kampanyanın teknik karmaşıklığı, enfekte olmuş sistemlerin telgraf tabanlı mekanizmalar aracılığıyla komut ve kontrol sunucularına geri döndüğü ve kötü niyetli trafiği maskelemek için meşru mesajlaşma platformlarını etkili bir şekilde kullanan iletişim altyapısına uzanıyor.
Gelişmiş enfeksiyon mekanizması ve kaçırma teknikleri
Kötü amaçlı yazılımların enfeksiyon mekanizması, görüntü dosyalarına gömülü şifreli kabuk kodu yükleyicilerini kullanarak dikkate değer teknik karmaşıklık gösterir.
Steganografi olarak bilinen bu teknik, kötü niyetli kodun görünüşte zararsız görüntülerin piksel verilerinde yürütülebilir içerik gizleyerek düz görüşte gizlenmesine izin verir.
Shellcode yükleyicileri, şifrelenmiş yükü yalnızca belirli koşullar karşılandığında çıkarmak ve yürütmek için tasarlanmıştır, bu da güvenlik araştırmacıları için dinamik analizi daha zor hale getirir.
Symantec’in koruma sistemleri, Trojan.gen.mbt ve Heur.Advml.a serisi gibi çeşitli sezgisel tanımlayıcılar gibi, kötü amaçlı yazılımların sofistike kaçış yeteneklerini gösteren birden fazla tespit imzasını tanımlamıştır.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial