Windows ve MS Office Kullanıcılarına Saldıran Yeni Kötü Amaçlı Yazılım

Kırık yazılım aracılığıyla özellikle Windows ve Microsoft Office kullanıcılarını hedef alan karmaşık bir kötü amaçlı yazılım kampanyası tespit edildi.

Bu kötü niyetli operasyon, Uzaktan Erişim Truva Atlarını (RAT’lar) ve madeni para madencilerini dağıtmak için genellikle popüler yazılımların yetkisiz olarak etkinleştirilmesi için aranan yazılım çatlaklarından yararlanır ve kişisel ve kurumsal siber güvenlik açısından önemli riskler oluşturur.

Akıllı Mekanizmalar Yoluyla Kalıcı Tehditler

Kötü amaçlı yazılım, kurbanın sistemine yüklendikten sonra kalıcılığını sağlamak için gelişmiş teknikler kullanır.

Görev zamanlayıcıdaki komutları akıllıca kaydeder, bu da virüslü sistem üzerinde bir yer tutmasına olanak tanır.

Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers

Broadcom’un son raporuna göre bu kalıcılık, yeni kötü amaçlı yazılım yüklerinin, ilk kaldırma denemelerinden sonra bile sürekli olarak yüklenmesine olanak tanıyor ve bu da onu özellikle inatçı ve tehlikeli bir tehdit haline getiriyor.

Önde gelen bir siber güvenlik firması olan Symantec, uyarlanabilir tabanlı, karbon karası tabanlı, dosya tabanlı, makine öğrenimi tabanlı ve web tabanlı göstergeler dahil olmak üzere bu kampanyayla ilişkili çeşitli risk göstergeleri belirledi.

Bu göstergeler, bu kötü amaçlı yazılımın başlattığı kötü amaçlı etkinliklerin tespit edilmesine ve engellenmesine yardımcı olur.

Bu kampanyada tanımlanan ACM.Ps-Http!g2, ACM.Ps-Masq!g1 ve ACM.Ps-Reg!g1 gibi kötü amaçlı yazılım çeşitleri, VMware Carbon Black ürünleri içindeki mevcut politikalar tarafından etkili bir şekilde tespit edilir ve engellenir.

VMware Carbon Black, bilinen kötü amaçlı yazılımlar, şüpheli kötü amaçlı yazılımlar ve potansiyel olarak istenmeyen programlar (PUP’ler) dahil olmak üzere en azından her türlü kötü amaçlı yazılımın yürütülmesini engelleyen politikalar önerir.

Bu yaklaşım, bulut taramalarının yürütülmesindeki gecikmeyle birleştiğinde, VMware Carbon Black Cloud’un itibar hizmetinden elde edilen faydaları en üst düzeye çıkarır.

Dosya Tabanlı ve Makine Öğrenimi Tabanlı Tespit

Kampanya ayrıca, sırasıyla ISB.Downloader!gen221 ve Trojan.Gen.MBT olarak tanımlanan indirici kötü amaçlı yazılımlardan ve Truva atlarından da yararlanıyor.

Bu tehditler, olası tehditleri zarar vermeden önce tespit edip etkisiz hale getirmek için Heur.AdvML.A!300 ve Heur.AdvML.B serisi gibi gelişmiş makine öğrenimi tabanlı algılama mekanizmalarını kullanan daha geniş bir stratejinin parçasıdır.

Operasyonun web tabanlı bileşeni, tüm WebPulse özellikli ürünlerde güvenlik kategorileri kapsamındaki gözlemlenen etki alanlarının ve IP adreslerinin kullanılmasını içerir.

Bu kapsamlı kapsam, komuta ve kontrol sunucularıyla iletişim kurma veya ek kötü amaçlı yükleri indirme girişimlerinin engellenmesini sağlayarak kullanıcıları kampanyanın erişiminden daha da korur.

Bu kötü amaçlı yazılım kampanyası, kırık yazılımların indirilmesi ve kullanılmasıyla ilişkili risklerin altını çiziyor.

Yasal ve etik sonuçların ötesinde, bu tür yazılımlar kullanıcıları önemli siber güvenlik tehditlerine maruz bırakır.

Kullanıcılardan yazılımı yalnızca resmi satıcı web sitelerinden indirmeleri ve bu tür karmaşık tehditlere karşı korunmak için saygın antivirüs ve kötü amaçlı yazılım önleme çözümleri dahil olmak üzere güçlü siber güvenlik önlemleri almaları isteniyor.

Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide